Tấn công email 2 bước sử dụng Powtoon Video để thực thi tải trọng

CẬP NHẬT

Một cuộc tấn công mạng nhiều bước duy nhất đã được quan sát thấy trong tự nhiên nhằm cố gắng lừa người dùng phát một video độc hại, cuối cùng nó phục vụ cho một trang giả mạo của Microsoft để lấy cắp thông tin đăng nhập. 

Nhóm tại Perception Point đã công bố một báo cáo về chiến dịch lừa đảo, lưu ý rằng các cuộc tấn công bắt đầu bằng một email dường như chứa hóa đơn từ công ty bảo mật email Egress của Anh. Báo cáo lưu ý rằng email Egress giả mạo có chứa chữ ký người gửi hợp lệ, điều này giúp nó vượt qua bộ lọc bảo mật email. 

Khi người dùng nhấp vào hóa đơn Lừa đảo, họ sẽ được đưa đến nền tảng chia sẻ video hợp pháp, Powtoon. Những kẻ tấn công sử dụng Powtoon để phát một đoạn video độc hại, cuối cùng đưa ra cho nạn nhân một trang đăng nhập Microsoft giả mạo rất thuyết phục, nơi thông tin đăng nhập của họ được thu thập.

Các nhà nghiên cứu cho biết, phương pháp tấn công rất đáng chú ý. Theo báo cáo của Perception Point về quy trình hai bước: “Đây là một cuộc tấn công lừa đảo cực kỳ phức tạp bao gồm nhiều bước…và video”. chiến dịch lừa đảo video.

Mạo danh thương hiệu đi ra

Egress nói với Dark Reading rằng cuộc điều tra của chính họ đã phát hiện ra cuộc tấn công dựa trên việc mạo danh thương hiệu, mặc dù về mặt giá trị, email này có thể được coi là email Egress hợp pháp.

“Chúng tôi có thể xác nhận rằng hiện tại không có bằng chứng nào cho thấy bản thân Egress là nạn nhân của một cuộc tấn công lừa đảo và các báo cáo về một cuộc tấn công chiếm đoạt tài khoản liên quan đến bất kỳ nhân viên Egress nào hoặc bất kỳ người dùng Egress nào là sai sự thật”, công ty cho biết trong một tuyên bố gửi tới Dark Đọc. “Không cần bất kỳ khách hàng hoặc người dùng Egress nào phải thực hiện bất kỳ hành động nào vào lúc này.”

Tuyên bố tiếp tục: “Cuộc điều tra của chúng tôi cho thấy đây là một hành vi mạo danh thương hiệu tiêu chuẩn. Như bạn có thể đã biết, tội phạm mạng lợi dụng nhiều thương hiệu nổi tiếng và đáng tin cậy để tăng thêm tính hợp pháp cho các cuộc tấn công của chúng. Trong trường hợp được báo cáo, một email lừa đảo đã được gửi bằng mẫu Egress Protect (mã hóa email).

Câu chuyện này được cập nhật lúc 9:30 sáng theo giờ ET ngày 21 tháng 12, để làm rõ rằng không có sự tiếp quản tài khoản nào tại Egress. Câu chuyện này cũng được cập nhật lúc 50:22 trưa. ET vào ngày XNUMX tháng XNUMX, sau khi Perception Point sửa đổi một số chi tiết nhất định trong blog của mình về vụ tấn công.

.