Microsoft акаунти са атакувани с нов комплект за фишинг, заобикалящ MFA

Нова широкомащабна фишинг кампания, насочена към идентификационни данни за имейл услуги на Microsoft, използва персонализиран  фишинг, базиран на прокси, за да заобиколи многофакторното удостоверяване.

Изследователите смятат, че целта на кампанията е да се пробият корпоративни акаунти за извършване на BEC (компрометиране на бизнес имейл) атаки, отклоняващи плащания към банкови сметки под техен контрол с помощта на фалшифицирани документи.

Жертвите на фишинг кампанията включват финансови технологии, кредитиране, счетоводство, застраховане и организации на Федералния кредитен съюз в САЩ, Обединеното кралство, Нова Зеландия и Австралия.

Кампанията е открита от изследователите на ThreatLabz на Zscaler, които съобщават, че операцията все още продължава и  хакерите регистрират нови фишинг домейни почти всеки ден.

Подробности за кампанията

От юни 2022г. анализаторите на Zscaler забелязаха скок в сложните опити за фишинг срещу определени сектори и потребители на имейл услугите на Microsoft.

Някои от новорегистрираните домейни, използвани в кампанията, са версии на легитимни федерални кредитни съюзи в Съединените щати, както е показано в таблицата по-долу.

Typos-quatted domains used in the campaign

Трябва да се отбележи, че много фишинг имейли произхождат от акаунти на ръководители, работещи в тези организации, които хакерите  най-вероятно са компрометирали по-рано.

Друг набор от фишинг сайтове използва имена на домейни, които се фокусират върху използването на примамки за повторно задаване на парола като част от своите имейл кампании:

  • expiryrequest-mailaccess[.]coм
  • expirationrequest-passwordreminder[.]com
  • emailaccess-passwordnotice[.]com
  • emailaccess-expirynotification[.]com

Хакерите добавят връзките към имейлите или като бутони, вградени в тялото на съобщението, или в прикачени HTML файлове, които задействат пренасочвания към фишинг страниците.

HTML attachment containing the phishing URL

Пренасочванията се извършват чрез легитимни уеб ресурси, за да се избегнат имейл и инструменти за интернет сигурност, като престъпниците показват предпочитание за отворени пренасочвания в Google Ads, Snapchat и DoubleClick. За съжаление, някои платформи не считат отворените пренасочвания за уязвимост, оставяйки ги достъпни за злоупотреба.

Redirection examples from the campaign

С CodeSandbox и Glitch също се злоупотребява широко в тази кампания, за да могат  хакерите да създадат нови маршрути за пренасочване без много усилия.

След като жертвата достигне фишинг страницата, тя получава дигитални  отпечатъци от JavaScript, който преценява дали жертвата  е на виртуална машина или на нормално устройство. Това позволява фишинг страницата да бъде разкрита само на валидни цели, а не на софтуер за сигурност и изследователи, които може да използват виртуални машини за анализ.

Fingerprinting the site visitor

Заобикаляне на MFA с персонализиран комплект фишинг

Тъй като компаниите внедряват  многофакторно удостоверяване с бързи темпове, кражбата на потребителски идентификационни данни не е достатъчна за получаване на достъп до акаунт, ако MFA е активирана. За да заобиколят MFA, хакерите се обръщат към инструменти като Evilginx2, Muraena и Modilshka.

Използвайки тези обратни проксита, противниците могат да седят по средата между жертвата и сървъра на доставчика на имейл, поради което се наричат ​​„AiTM“ (противник по средата).

Имейл сървърът изисква кода на MFA по време на процеса на влизане и комплектът за фишинг предава тази заявка на жертвата, която след това въвежда OTP в полето за фишинг. Данните се препращат към имейл услугата, което позволява на хакера да влезе в откраднатия акаунт.

Въпреки това, фишинг проксито, което се намира в средата на този обмен, може да открадне получените бисквитки за удостоверяване, позволявайки на бандитите да ги използват, за да влязат и да заобиколят MFA за конкретния акаунт.

Това, което отличава тази кампания, е използването на персонализиран комплект за фишинг, базиран на прокси, който има особеността да използва инструмента за анализ на HTML и XML „Beautiful Soup“.

Този инструмент позволява на комплекта лесно да променя легитимните страници за вход, извлечени от корпоративни входове, и да добавя свои собствени фишинг елементи. Инструментът има и допълнителната полза от разкрасяването на HTML в процеса.

Комплектът обаче не е перфектен, тъй като Zscaler откри някои изтичания на URL адреси към заявките, изпратени до сървъра на Microsoft, което може да направи откриването им възможно от страна на доставчика.

Including the phishing domain in the server request

Zscaler създаде тестов екземпляр, за да позволи на атакуващия да броди и да наблюдава тяхната дейност след компромис и установи, че хакерите са влезли в акаунта си осем минути след пробива.

Освен влизането в акаунта и оценката му и прочитането на някои от съобщенията, хакерът  не е извършил никакви допълнителни действия.

Снимки и адаптиран текст: Zscaler

Източник: По материали от Интернет

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
Бъдете социални
Още по темата
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
20/11/2022

Какво представлява DDoS?

Много популярни марки – като Google,...
18/11/2022

Федерална агенция на САЩ е ...

Първоначалното проникване е открито през февруари,...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!