一个精心制作且相当不寻常的 网络钓鱼活动 欺骗 eFax 通知并使用受损的 Dynamics 365 Customer Voice 企业帐户来引诱受害者通过 microsoft.com 页面放弃其凭据。
威胁行为者通过广泛传播的活动袭击了数十家公司,这是 针对 Microsoft 365 Cofense 网络钓鱼防御中心 (PDC) 的研究人员在周三发表的一篇博客文章中透露,来自不同行业的用户——包括能源、金融服务、商业房地产、食品、制造业,甚至家具制造。
该活动结合了常见和不寻常的策略来引诱用户点击一个页面,该页面似乎引导他们对 eFax 服务进行客户反馈调查,但实际上却窃取了他们的凭据。
攻击者不仅冒充 eFax,还冒充 Microsoft,在多阶段工作的多个阶段使用托管在多个 microsoft.com 页面上的内容。 Cofense 情报分析经理 Joseph Gallop 表示,该骗局是 Cofense 自春季以来观察到的使用类似策略的众多网络钓鱼活动之一。
“今年 XNUMX 月,我们开始看到大量使用嵌入式 ncv[.]microsoft[.]com 调查链接的网络钓鱼电子邮件,这种链接在这次活动中使用过,”他告诉 Dark Reading。
战术组合
网络钓鱼电子邮件使用传统的诱饵,声称收件人收到了一份 10 页的公司电子传真,需要他或她的注意。 但在那之后事情就偏离了常规,Cofense PDC 的 Nathaniel Sagibanda 在 周三邮报.
收件人很可能会打开邮件,期望它与需要签名的文档相关。 “然而,这不是我们在你阅读邮件正文时看到的,”他写道。
取而代之的是,这封电子邮件包含一个看似附加的、未命名的 PDF 文件,该文件是从包含实际文件的传真中发送的——根据 Gallop 的说法,这是网络钓鱼电子邮件的一个不寻常的特征。
“虽然许多凭据网络钓鱼活动使用指向托管文件的链接,并且有些使用附件,但很少有人会看到冒充附件的嵌入式链接,”他写道。
根据该帖子,情节在消息的更下方变得更加浓密,其中包含一个页脚,表明它是一个调查网站 - 例如用于提供客户反馈的网站 - 生成了该消息。
模拟客户调查
研究人员表示,当用户单击该链接时,他们会被引导至一个令人信服的仿冒 Microsoft Dynamics 365 页面呈现的 eFax 解决方案页面,该页面已被攻击者破坏。
此页面包含指向另一个页面的链接,该页面似乎指向 Microsoft Customer Voice 调查以提供有关 eFax 服务的反馈,但实际上会将受害者带到泄露其凭据的 Microsoft 登录页面。
研究人员表示,为了进一步增强此页面的合法性,威胁行为者甚至嵌入了一段关于欺骗性服务详细信息的 eFax 解决方案视频,指示用户如有任何疑问,请联系“@eFaxdynamic365”。
他们补充说,页面底部的“提交”按钮还可以进一步确认威胁行为者在骗局中使用了真实的 Microsoft Customer Voice 反馈表单模板。
Sagibanda 写道,攻击者随后使用“虚假的 eFax 信息诱使收件人单击链接”修改了模板,这导致了一个虚假的 Microsoft 登录页面,该页面将他们的凭据发送到攻击者托管的外部 URL。
愚弄训练有素的眼睛
Gallop 说,虽然最初的活动要简单得多——仅包括 Microsoft 调查中托管的最少信息——eFax 欺骗活动进一步加强了活动的合法性。
他指出,它结合了多阶段策略和双重模拟,可能允许消息通过安全的电子邮件网关,甚至愚弄受过网络钓鱼诈骗训练的最精明的企业用户。
“只有在整个过程的每个阶段继续检查 URL 栏的用户才能确定这是网络钓鱼尝试,”Gallop 说。
事实上, 网络安全公司 Vade 的一项调查 周三还发布了发现 品牌模仿 仍然是网络钓鱼者用来欺骗受害者点击恶意电子邮件的首选工具。
研究人员发现,事实上,在 2022 年上半年观察到的活动中,攻击者最常冒充 Microsoft,尽管 Facebook 仍然是今年迄今为止观察到的网络钓鱼活动中被冒充最多的品牌。
网络钓鱼游戏依然强劲
Gallop 说,目前研究人员还没有确定谁可能是骗局的幕后黑手,也没有确定攻击者窃取凭据的具体动机。
根据 Vade 报告,网络钓鱼总体上仍然是威胁行为者危害受害者的最简单和最常用的方式之一,不仅窃取凭据,还传播恶意软件,因为电子邮件携带的恶意软件比远程攻击更容易传播.
事实上,这种类型的攻击在今年第二季度出现了逐月增长,然后在 2022 月份再次出现增长,将“电子邮件数量推回到 100 年 XNUMX 月以来的惊人数量”,当时 Vade 看到超过 XNUMX 封分发了数百万封网络钓鱼电子邮件。
Vade 的 Natalie Petitto 在报告中写道:“黑客可以相对轻松地通过电子邮件进行惩罚性网络攻击,这使得电子邮件成为最主要的攻击媒介之一,也是对企业和最终用户的持续威胁。” “网络钓鱼电子邮件冒充您最信任的品牌,为伪装成品牌的网络钓鱼者提供广泛的潜在受害者网络和合法外衣。”