Складний і досить незвичайний фішинг-кампанія підробляє сповіщення eFax і використовує скомпрометований бізнес-акаунт Dynamics 365 Customer Voice, щоб спонукати жертв надати свої облікові дані через сторінки microsoft.com.
Зловмисники вразили десятки компаній завдяки широко поширеній кампанії, яка є орієнтований на Microsoft 365 Дослідники з Cofense Phishing Defense Defense Center (PDC) повідомили в публікації в блозі, опублікованій у середу.
У кампанії використовується поєднання поширених і незвичайних тактик, щоб спонукати користувачів натиснути сторінку, яка, здається, веде їх до опитування клієнтів про службу eFax, але замість цього викрадає їхні облікові дані.
Зловмисники видають себе за eFax, а й за Microsoft, використовуючи вміст, розміщений на кількох сторінках microsoft.com, на кількох етапах багатоетапної спроби. Шахрайство є однією з низки фішингових кампаній, які Cofense спостерігала з весни, які використовують подібну тактику, говорить Джозеф Геллоп, менеджер з аналізу розвідувальних даних у Cofense.
«У квітні цього року ми почали спостерігати значну кількість фішингових електронних листів із використанням вбудованих посилань на опитування ncv[.]microsoft[.]com, які використовуються в цій кампанії», — розповідає він Dark Reading.
Комбінація тактики
Фішингові електронні листи використовують звичайну приманку, стверджуючи, що одержувач отримав 10-сторінковий корпоративний електронний факс, який вимагає його чи її уваги. Але після цього все розходиться з протореного шляху, пояснив Натаніель Сагібанда з Cofense PDC у Пост у середу.
Одержувач, швидше за все, відкриє повідомлення, очікуючи, що воно стосується документа, який потребує підпису. «Однак це не те, що ми бачимо, коли ви читаєте текст повідомлення», — написав він.
Натомість електронний лист містить те, що схоже на вкладений PDF-файл без назви, надісланий із факсу, який містить фактичний файл — за словами Геллопа, це незвичайна особливість фішингового електронного листа.
«Хоча багато кампаній з фішингу облікових даних використовують посилання на розміщені файли, а деякі використовують вкладення, рідше можна побачити вбудоване посилання, яке видається за вкладення», — написав він.
Сюжет ще більше згущується в повідомленні, яке містить нижній колонтитул, який вказує на те, що це був сайт опитування — наприклад, ті, які використовуються для надання відгуків клієнтів — який створив повідомлення, згідно з публікацією.
Імітація опитування клієнтів
За словами дослідників, коли користувачі натискають посилання, вони спрямовуються на переконливу імітацію сторінки рішення eFax, яку відтворює сторінка Microsoft Dynamics 365, яка була зламана зловмисниками.
Ця сторінка містить посилання на іншу сторінку, яка, здається, веде до голосового опитування Microsoft Customer Voice для надання відгуків про службу eFax, але замість цього спрямовує жертв на сторінку входу Microsoft, яка викрадає їхні облікові дані.
За словами дослідників, щоб ще більше підвищити легітимність цієї сторінки, зловмисник зайшов так далеко, що вставив відео з рішеннями eFax для підроблених деталей служби, наказавши користувачеві звертатися до «@eFaxdynamic365» із будь-якими запитами.
Кнопка «Надіслати» внизу сторінки також служить додатковим підтвердженням того, що зловмисник використовував у шахрайстві справжній шаблон форми зворотного зв’язку Microsoft Customer Voice, додали вони.
Потім зловмисники змінили шаблон, додавши «фальшиву інформацію eFax, щоб спонукати одержувача натиснути посилання», що веде до фальшивої сторінки входу Microsoft, яка надсилає їхні облікові дані на зовнішню URL-адресу, розміщену зловмисниками, написав Сагібанда.
Обдурити навчене око
Хоча початкові кампанії були набагато простішими — включали лише мінімальну інформацію, розміщену в опитуванні Microsoft, — кампанія фальсифікації eFax йде далі, щоб підвищити легітимність кампанії, каже Геллоп.
Його поєднання багатоетапної тактики та подвійної імітації може дозволити повідомленням прослизати через захищені шлюзи електронної пошти, а також ввести в оману навіть найкмітливіших корпоративних користувачів, які навчені виявляти фішингові афери, зазначає він.
«Тільки користувачі, які продовжують перевіряти рядок URL-адреси на кожному етапі протягом усього процесу, будуть певні, що ідентифікують це як спробу фішингу», — говорить Геллоп.
Справді, опитування компанії з кібербезпеки Vade також опублікований у середу виявив, що імітація бренду продовжує залишатися найпопулярнішим інструментом, який використовують фішери, щоб змусити жертв натиснути на шкідливі електронні листи.
Насправді зловмисники використовували особу Microsoft найчастіше в кампаніях, які спостерігалися в першій половині 2022 року, виявили дослідники, хоча Facebook залишається найбільш імітованим брендом у фішингових кампаніях, які спостерігалися цього року.
Фішингова гра залишається сильною
Дослідники наразі не визначили, хто міг стояти за шахрайством, ані конкретні мотиви зловмисників для викрадення облікових даних, каже Геллоп.
Загалом фішинг залишається одним із найпростіших і найбільш часто використовуваних способів компрометації жертв не лише для викрадення облікових даних, але й для поширення зловмисного програмного забезпечення, оскільки, згідно зі звітом Vade, зловмисне програмне забезпечення, що передається електронною поштою, набагато легше розповсюджувати, ніж віддалені атаки. .
Дійсно, у другому кварталі цього типу атаки спостерігалося збільшення кількості електронних листів порівняно з попереднім місяцем у другому кварталі року, а потім ще одне зростання в червні, яке підштовхнуло «електронну пошту до тривожних обсягів, яких не було з січня 2022 року», коли Vade зафіксував понад 100 мільйони фішингових електронних листів у розповсюдженні.
«Відносна легкість, з якою хакери можуть здійснювати каральні кібератаки електронною поштою, робить електронну пошту одним із найпоширеніших засобів атак і постійною загрозою для компаній і кінцевих користувачів», — написала у звіті Наталі Петітто з Vade. «Фішингові електронні листи видають себе за бренди, яким ви найбільше довіряєте, пропонуючи широку мережу потенційних жертв і маску легітимності для фішерів, які маскуються під бренди».
