Microsoft акаунти са атакувани с нов комплект за фишинг, заобикалящ MFA

Нова широкомащабна фишинг кампания, насочена към идентификационни данни за имейл услуги на Microsoft, използва персонализиран  фишинг, базиран на прокси, за да заобиколи многофакторното удостоверяване.

Изследователите смятат, че целта на кампанията е да се пробият корпоративни акаунти за извършване на BEC (компрометиране на бизнес имейл) атаки, отклоняващи плащания към банкови сметки под техен контрол с помощта на фалшифицирани документи.

Жертвите на фишинг кампанията включват финансови технологии, кредитиране, счетоводство, застраховане и организации на Федералния кредитен съюз в САЩ, Обединеното кралство, Нова Зеландия и Австралия.

Кампанията е открита от изследователите на ThreatLabz на Zscaler, които съобщават, че операцията все още продължава и  хакерите регистрират нови фишинг домейни почти всеки ден.

Подробности за кампанията

От юни 2022г. анализаторите на Zscaler забелязаха скок в сложните опити за фишинг срещу определени сектори и потребители на имейл услугите на Microsoft.

Някои от новорегистрираните домейни, използвани в кампанията, са версии на легитимни федерални кредитни съюзи в Съединените щати, както е показано в таблицата по-долу.

Typos-quatted domains used in the campaign

Трябва да се отбележи, че много фишинг имейли произхождат от акаунти на ръководители, работещи в тези организации, които хакерите  най-вероятно са компрометирали по-рано.

Друг набор от фишинг сайтове използва имена на домейни, които се фокусират върху използването на примамки за повторно задаване на парола като част от своите имейл кампании:

  • expiryrequest-mailaccess[.]coм
  • expirationrequest-passwordreminder[.]com
  • emailaccess-passwordnotice[.]com
  • emailaccess-expirynotification[.]com

Хакерите добавят връзките към имейлите или като бутони, вградени в тялото на съобщението, или в прикачени HTML файлове, които задействат пренасочвания към фишинг страниците.

HTML attachment containing the phishing URL

Пренасочванията се извършват чрез легитимни уеб ресурси, за да се избегнат имейл и инструменти за интернет сигурност, като престъпниците показват предпочитание за отворени пренасочвания в Google Ads, Snapchat и DoubleClick. За съжаление, някои платформи не считат отворените пренасочвания за уязвимост, оставяйки ги достъпни за злоупотреба.

Redirection examples from the campaign

С CodeSandbox и Glitch също се злоупотребява широко в тази кампания, за да могат  хакерите да създадат нови маршрути за пренасочване без много усилия.

След като жертвата достигне фишинг страницата, тя получава дигитални  отпечатъци от JavaScript, който преценява дали жертвата  е на виртуална машина или на нормално устройство. Това позволява фишинг страницата да бъде разкрита само на валидни цели, а не на софтуер за сигурност и изследователи, които може да използват виртуални машини за анализ.

Fingerprinting the site visitor

Заобикаляне на MFA с персонализиран комплект фишинг

Тъй като компаниите внедряват  многофакторно удостоверяване с бързи темпове, кражбата на потребителски идентификационни данни не е достатъчна за получаване на достъп до акаунт, ако MFA е активирана. За да заобиколят MFA, хакерите се обръщат към инструменти като Evilginx2, Muraena и Modilshka.

Използвайки тези обратни проксита, противниците могат да седят по средата между жертвата и сървъра на доставчика на имейл, поради което се наричат ​​„AiTM“ (противник по средата).

Имейл сървърът изисква кода на MFA по време на процеса на влизане и комплектът за фишинг предава тази заявка на жертвата, която след това въвежда OTP в полето за фишинг. Данните се препращат към имейл услугата, което позволява на хакера да влезе в откраднатия акаунт.

Въпреки това, фишинг проксито, което се намира в средата на този обмен, може да открадне получените бисквитки за удостоверяване, позволявайки на бандитите да ги използват, за да влязат и да заобиколят MFA за конкретния акаунт.

Това, което отличава тази кампания, е използването на персонализиран комплект за фишинг, базиран на прокси, който има особеността да използва инструмента за анализ на HTML и XML „Beautiful Soup“.

Този инструмент позволява на комплекта лесно да променя легитимните страници за вход, извлечени от корпоративни входове, и да добавя свои собствени фишинг елементи. Инструментът има и допълнителната полза от разкрасяването на HTML в процеса.

Комплектът обаче не е перфектен, тъй като Zscaler откри някои изтичания на URL адреси към заявките, изпратени до сървъра на Microsoft, което може да направи откриването им възможно от страна на доставчика.

Including the phishing domain in the server request

Zscaler създаде тестов екземпляр, за да позволи на атакуващия да броди и да наблюдава тяхната дейност след компромис и установи, че хакерите са влезли в акаунта си осем минути след пробива.

Освен влизането в акаунта и оценката му и прочитането на някои от съобщенията, хакерът  не е извършил никакви допълнителни действия.

Снимки и адаптиран текст: Zscaler

Източник: По материали от Интернет

Подобни публикации

19 август 2022

Хакер открадна записите на 5,4 милиона потребит...

Хакерска атака удари Twitter, след като неизвестно лице успя да отк...
19 август 2022

Microsoft намалява цените за Teams Rooms

Microsoft обяви основно преразглеждане на лицензирането на Microsof...
18 август 2022

Pentesting или сканиране за уязвимости - каква ...

Pentesting и сканирането за уязвимости често се бъркат за една и съ...
16 август 2022

SOVA криптира Android устройства

Банковият троян SOVA Android продължава да се развива с нови функци...
15 август 2022

Излезе доклада на Verizon за нарушаване на данн...

Verizon е една от най-големите телекомуникационни компании в Северн...
11 август 2022

От Анфийлд до Apple

Следващото поколение кибер таланти  расте сред бившите юноши на ...
9 август 2022

ФБР предупреждава за измамни приложения за крип...

ФБР твърди, че хакерите са откраднали 42,7 милиона долара от крипто...
8 август 2022

Какво представляват SSL стрипинг атаките?

Премахването на криптирането, предлагано от HTTPS, наречено SSL Str...
8 август 2022

ФБР конфискува $500 000 от севернокорейски хакери

Министерството на правосъдието на САЩ (DoJ) обяви изземването на би...
Бъдете социални
Още по темата
19/08/2022

Хакер открадна записите на ...

Хакерска атака удари Twitter, след като...
19/08/2022

Microsoft намалява цените з...

Microsoft обяви основно преразглеждане на лицензирането...
08/08/2022

Microsoft Edge с по-добри н...

Microsoft пуска нова актуализация на Microsoft...
Последно добавени
19/08/2022

Хакер открадна записите на ...

Хакерска атака удари Twitter, след като...
19/08/2022

Microsoft намалява цените з...

Microsoft обяви основно преразглеждане на лицензирането...
18/08/2022

Pentesting или сканиране за...

Pentesting и сканирането за уязвимости често...
Ключови думи