Microsoft акаунти са атакувани с нов комплект за фишинг, заобикалящ MFA

Нова широкомащабна фишинг кампания, насочена към идентификационни данни за имейл услуги на Microsoft, използва персонализиран  фишинг, базиран на прокси, за да заобиколи многофакторното удостоверяване.

Изследователите смятат, че целта на кампанията е да се пробият корпоративни акаунти за извършване на BEC (компрометиране на бизнес имейл) атаки, отклоняващи плащания към банкови сметки под техен контрол с помощта на фалшифицирани документи.

Жертвите на фишинг кампанията включват финансови технологии, кредитиране, счетоводство, застраховане и организации на Федералния кредитен съюз в САЩ, Обединеното кралство, Нова Зеландия и Австралия.

Кампанията е открита от изследователите на ThreatLabz на Zscaler, които съобщават, че операцията все още продължава и  хакерите регистрират нови фишинг домейни почти всеки ден.

Подробности за кампанията

От юни 2022г. анализаторите на Zscaler забелязаха скок в сложните опити за фишинг срещу определени сектори и потребители на имейл услугите на Microsoft.

Някои от новорегистрираните домейни, използвани в кампанията, са версии на легитимни федерални кредитни съюзи в Съединените щати, както е показано в таблицата по-долу.

Typos-quatted domains used in the campaign

Трябва да се отбележи, че много фишинг имейли произхождат от акаунти на ръководители, работещи в тези организации, които хакерите  най-вероятно са компрометирали по-рано.

Друг набор от фишинг сайтове използва имена на домейни, които се фокусират върху използването на примамки за повторно задаване на парола като част от своите имейл кампании:

  • expiryrequest-mailaccess[.]coм
  • expirationrequest-passwordreminder[.]com
  • emailaccess-passwordnotice[.]com
  • emailaccess-expirynotification[.]com

Хакерите добавят връзките към имейлите или като бутони, вградени в тялото на съобщението, или в прикачени HTML файлове, които задействат пренасочвания към фишинг страниците.

HTML attachment containing the phishing URL

Пренасочванията се извършват чрез легитимни уеб ресурси, за да се избегнат имейл и инструменти за интернет сигурност, като престъпниците показват предпочитание за отворени пренасочвания в Google Ads, Snapchat и DoubleClick. За съжаление, някои платформи не считат отворените пренасочвания за уязвимост, оставяйки ги достъпни за злоупотреба.

Redirection examples from the campaign

С CodeSandbox и Glitch също се злоупотребява широко в тази кампания, за да могат  хакерите да създадат нови маршрути за пренасочване без много усилия.

След като жертвата достигне фишинг страницата, тя получава дигитални  отпечатъци от JavaScript, който преценява дали жертвата  е на виртуална машина или на нормално устройство. Това позволява фишинг страницата да бъде разкрита само на валидни цели, а не на софтуер за сигурност и изследователи, които може да използват виртуални машини за анализ.

Fingerprinting the site visitor

Заобикаляне на MFA с персонализиран комплект фишинг

Тъй като компаниите внедряват  многофакторно удостоверяване с бързи темпове, кражбата на потребителски идентификационни данни не е достатъчна за получаване на достъп до акаунт, ако MFA е активирана. За да заобиколят MFA, хакерите се обръщат към инструменти като Evilginx2, Muraena и Modilshka.

Използвайки тези обратни проксита, противниците могат да седят по средата между жертвата и сървъра на доставчика на имейл, поради което се наричат ​​„AiTM“ (противник по средата).

Имейл сървърът изисква кода на MFA по време на процеса на влизане и комплектът за фишинг предава тази заявка на жертвата, която след това въвежда OTP в полето за фишинг. Данните се препращат към имейл услугата, което позволява на хакера да влезе в откраднатия акаунт.

Въпреки това, фишинг проксито, което се намира в средата на този обмен, може да открадне получените бисквитки за удостоверяване, позволявайки на бандитите да ги използват, за да влязат и да заобиколят MFA за конкретния акаунт.

Това, което отличава тази кампания, е използването на персонализиран комплект за фишинг, базиран на прокси, който има особеността да използва инструмента за анализ на HTML и XML „Beautiful Soup“.

Този инструмент позволява на комплекта лесно да променя легитимните страници за вход, извлечени от корпоративни входове, и да добавя свои собствени фишинг елементи. Инструментът има и допълнителната полза от разкрасяването на HTML в процеса.

Комплектът обаче не е перфектен, тъй като Zscaler откри някои изтичания на URL адреси към заявките, изпратени до сървъра на Microsoft, което може да направи откриването им възможно от страна на доставчика.

Including the phishing domain in the server request

Zscaler създаде тестов екземпляр, за да позволи на атакуващия да броди и да наблюдава тяхната дейност след компромис и установи, че хакерите са влезли в акаунта си осем минути след пробива.

Освен влизането в акаунта и оценката му и прочитането на някои от съобщенията, хакерът  не е извършил никакви допълнителни действия.

Снимки и адаптиран текст: Zscaler

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
27/09/2023

Microsoft разпространява P...

Днес Microsoft официално въвежда поддръжка на...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft ще започне да изт...

Днес Microsoft съобщи, че API на...
Последно добавени
27/09/2023

Microsoft разпространява P...

Днес Microsoft официално въвежда поддръжка на...
27/09/2023

Излязоха резултатите от оце...

Задълбочените, независими тестове са жизненоважен ресурс...
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!