Oszuści próbują ukraść dane logowania do platformy Microsoft 365 osób pracujących w amerykańskiej armii, firmach zajmujących się bezpieczeństwem, łańcuchach dostaw, opiece zdrowotnej i firmach farmaceutycznych, za pomocą rozbudowanej kampanii phishingowej, która wykorzystuje fałszywe wiadomości głosowe i fałszywe strony logowania Microsoft.

Pracownicy tych firm otrzymywali fałszywe powiadomienia e-mail, twierdząc, że ktoś z ich organizacji wysłał im wiadomość głosową.

Sam e-mail wydaje się pochodzić od firmy, ale firma ZScaler zajmująca się bezpieczeństwem w chmurze odkryła, że ​​prawdziwy nadawca faktycznie nadużywa japońskiej usługi poczty e-mail, aby ukryć swój adres i prawdziwą tożsamość (otwiera się w nowej karcie).

Jeśli ofiara złapała przynętę i kliknęła załącznik do wiadomości e-mail w formacie HTML, najpierw zostałaby przekierowana do sprawdzenia CAPTCHA, którego cel jest dwojaki: obejście narzędzi antyphishingowych i przekonanie ofiary o jego zasadności.

kradzież poświadczeń

Gdy ofiara przekaże captcha, jest przekierowywana (otwiera się w nowej karcie) na właściwą stronę phishingową, stronę docelową, która wygląda identycznie jak strona logowania Microsoft 365. W tym miejscu, jeśli ofiara wprowadzi swoje dane uwierzytelniające, podziel się nimi z atakującymi.

Oszuści są bardzo poszukiwani na kontach Microsoft 365, ponieważ oferują one skarbnicę cennych informacji, które mogą prowadzić do niszczycielskich ataków drugiego etapu. Przestępcy mogą go używać do wdrażania złośliwego oprogramowania (otwiera się w nowej karcie) i oprogramowania ransomware, instalowania koparek kryptowalut na potężnych serwerach, a nawet przeprowadzania wysoce destrukcyjnych ataków w łańcuchu dostaw.

Atak na łańcuch dostaw Solar Winds, którego celem były agencje rządowe, instytucje i kilka wiodących amerykańskich firm technologicznych, rozpoczął się od zhakowania konta Microsoft 365.

W grudniu 2020 r. odkryto masowy atak cyberszpiegowski, który skaził łańcuch dostaw oprogramowania poprzez fałszywą aktualizację oprogramowania SolarWinds. Przypięty do sponsorowanych przez państwo rosyjskich hakerów atak dotknął dziewięć agencji federalnych, a także liczne firmy z sektora prywatnego.

Odbyło się kilka przesłuchań w Kongresie w sprawie włamania do SolarWinds, a incydent spowodował również nałożenie sankcji na kilka rosyjskich firm zajmujących się cyberbezpieczeństwem. Jednak nikt nie był w stanie określić prawdziwego zakresu ataku, po części dlatego, że dość trudno było prześledzić ślady napastników.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to