En utstuderad och ganska ovanlig phishing-kampanj spoofar eFax-aviseringar och använder ett äventyrat Dynamics 365 Customer Voice-företagskonto för att locka offer att ge upp sina referenser via microsoft.com-sidor.
Hotaktörer har drabbat dussintals företag genom den brett spridda kampanjen, dvs riktar sig till Microsoft 365 användare från en mängd olika sektorer - inklusive energi, finansiella tjänster, kommersiella fastigheter, mat, tillverkning och till och med möbeltillverkning, avslöjade forskare från Cofense Phishing Defense Center (PDC) i ett blogginlägg som publicerades på onsdagen.
Kampanjen använder en kombination av vanliga och ovanliga taktiker för att locka användare att klicka på en sida som verkar leda dem till en kundfeedbackundersökning för en eFax-tjänst, men istället stjäl deras referenser.
Angripare efterliknar inte bara eFax utan även Microsoft genom att använda innehåll som finns på flera microsoft.com-sidor i flera steg av flerstegsansträngningen. Bedrägeriet är en av ett antal nätfiskekampanjer som Cofense har observerat sedan i våras som använder en liknande taktik, säger Joseph Gallop, underrättelseanalyschef på Cofense.
"I april i år började vi se en betydande mängd nätfiske-e-postmeddelanden som använder inbäddade ncv[.]microsoft[.]com-enkätlänkar av det slag som används i den här kampanjen", säger han till Dark Reading.
Kombination av taktik
Nätfiske-e-postmeddelanden använder ett konventionellt lockbete, som hävdar att mottagaren har fått ett 10-sidigt företags eFax som kräver hans eller hennes uppmärksamhet. Men saker och ting avviker från den misshandlade vägen efter det, förklarade Cofense PDC:s Nathaniel Sagibanda i Onsdags inlägg.
Mottagaren kommer troligen att öppna meddelandet och förväntar sig att det är relaterat till ett dokument som behöver en signatur. "Men det är inte vad vi ser när du läser meddelandet", skrev han.
Istället innehåller e-postmeddelandet vad som verkar som en bifogad, namnlös PDF-fil som har levererats från ett fax som innehåller en faktisk fil - en ovanlig egenskap hos ett nätfiske-e-postmeddelande, enligt Gallop.
"Medan många nätfiskekampanjer använder länkar till värdfiler, och vissa använder bilagor, är det mindre vanligt att se en inbäddad länk som en bilaga", skrev han.
Handlingen tjocknar ännu längre ner i meddelandet, som innehåller en sidfot som indikerar att det var en undersökningswebbplats - som de som används för att ge kundfeedback - som genererade meddelandet, enligt inlägget.
Efterliknar en kundundersökning
När användare klickar på länken dirigeras de till en övertygande imitation av en eFax-lösningssida renderad av en Microsoft Dynamics 365-sida som har äventyrats av angripare, sa forskare.
Den här sidan innehåller en länk till en annan sida, som verkar leda till en Microsoft Customer Voice-undersökning för att ge feedback om eFax-tjänsten, men istället tar offren till en Microsoft-inloggningssida som exfiltrerar deras autentiseringsuppgifter.
För att ytterligare öka legitimiteten på den här sidan gick hotaktören så långt att han bäddade in en video med eFax-lösningar för falska tjänstdetaljer, och instruerade användaren att kontakta "@eFaxdynamic365" med eventuella förfrågningar, sa forskare.
"Skicka"-knappen längst ner på sidan fungerar också som ytterligare bekräftelse på att hotaktören använde en riktig Microsoft Customer Voice-feedback-mall i bluffen, tillade de.
Angriparna modifierade sedan mallen med "falsk eFax-information för att locka mottagaren att klicka på länken", vilket leder till en falsk Microsoft-inloggningssida som skickar deras autentiseringsuppgifter till en extern URL som är värd av angripare, skrev Sagibanda.
Lura ett tränat öga
Även om de ursprungliga kampanjerna var mycket enklare – inklusive endast minimal information som fanns på Microsoft-undersökningen – går eFax-spoofingkampanjen längre för att stärka kampanjens legitimitet, säger Gallop.
Dess kombination av flerstegstaktik och dubbel efterbildning kan tillåta meddelanden att glida genom säkra e-postgateways och lura även de mest kunniga företagsanvändare som har tränats för att upptäcka nätfiskebedrägerier, noterar han.
"Endast de användare som fortsätter att kontrollera URL-fältet i varje steg under hela processen skulle vara säkra på att identifiera detta som ett nätfiskeförsök", säger Gallop.
Verkligen, en undersökning av cybersäkerhetsföretaget Vade också släppt onsdag fann att varumärkesidentitet fortsätter att vara det bästa verktyget som nätfiskare använder för att lura offer till att klicka på skadliga e-postmeddelanden.
Faktum är att angripare antog Microsofts persona oftast i kampanjer som observerades under första halvåret 2022, fann forskare, även om Facebook fortfarande är det varumärke som efterliknas mest i nätfiskekampanjer som observerats hittills i år.
Nätfiskespel förblir starkt
Forskare har vid det här laget inte identifierat vem som kan ligga bakom bluffen, och inte heller angriparnas specifika motiv för att stjäla referenser, säger Gallop.
Nätfiske är totalt sett fortfarande ett av de enklaste och mest använda sätten för hotaktörer att kompromissa med offer, inte bara för att stjäla referenser utan också sprida skadlig programvara, eftersom e-postburen skadlig programvara är betydligt lättare att distribuera än fjärrattacker, enligt Vade-rapporten .
Faktum är att den här typen av attacker ökade från månad till månad under årets andra kvartal och sedan ytterligare ett uppsving i juni som förde "e-postmeddelanden tillbaka till de alarmerande volymerna som inte setts sedan januari 2022", när Vade såg uppåt 100-plus miljoner nätfiske-e-postmeddelanden i distribution.
"Den relativa lätthet med vilken hackare kan leverera straffande cyberattacker via e-post gör e-post till en av de främsta vektorerna för attacker och ett konstant hot för företag och slutanvändare", skrev Vades Natalie Petitto i rapporten. "Nätfiske-e-postmeddelanden efterliknar de varumärken du litar mest på, och erbjuder ett brett nät av potentiella offer och en mantel av legitimitet för nätfiskare som maskerar sig som varumärken."
