Нова широкомащабна фишинг кампания, насочена към идентификационни данни за имейл услуги на Microsoft, използва персонализиран фишинг, базиран на прокси, за да заобиколи многофакторното удостоверяване.
Изследователите смятат, че целта на кампанията е да се пробият корпоративни акаунти за извършване на BEC (компрометиране на бизнес имейл) атаки, отклоняващи плащания към банкови сметки под техен контрол с помощта на фалшифицирани документи.
Жертвите на фишинг кампанията включват финансови технологии, кредитиране, счетоводство, застраховане и организации на Федералния кредитен съюз в САЩ, Обединеното кралство, Нова Зеландия и Австралия.
Кампанията е открита от изследователите на ThreatLabz на Zscaler, които съобщават, че операцията все още продължава и хакерите регистрират нови фишинг домейни почти всеки ден.
От юни 2022г. анализаторите на Zscaler забелязаха скок в сложните опити за фишинг срещу определени сектори и потребители на имейл услугите на Microsoft.
Някои от новорегистрираните домейни, използвани в кампанията, са версии на легитимни федерални кредитни съюзи в Съединените щати, както е показано в таблицата по-долу.
Трябва да се отбележи, че много фишинг имейли произхождат от акаунти на ръководители, работещи в тези организации, които хакерите най-вероятно са компрометирали по-рано.
Друг набор от фишинг сайтове използва имена на домейни, които се фокусират върху използването на примамки за повторно задаване на парола като част от своите имейл кампании:
Хакерите добавят връзките към имейлите или като бутони, вградени в тялото на съобщението, или в прикачени HTML файлове, които задействат пренасочвания към фишинг страниците.
Пренасочванията се извършват чрез легитимни уеб ресурси, за да се избегнат имейл и инструменти за интернет сигурност, като престъпниците показват предпочитание за отворени пренасочвания в Google Ads, Snapchat и DoubleClick. За съжаление, някои платформи не считат отворените пренасочвания за уязвимост, оставяйки ги достъпни за злоупотреба.
С CodeSandbox и Glitch също се злоупотребява широко в тази кампания, за да могат хакерите да създадат нови маршрути за пренасочване без много усилия.
След като жертвата достигне фишинг страницата, тя получава дигитални отпечатъци от JavaScript, който преценява дали жертвата е на виртуална машина или на нормално устройство. Това позволява фишинг страницата да бъде разкрита само на валидни цели, а не на софтуер за сигурност и изследователи, които може да използват виртуални машини за анализ.
Тъй като компаниите внедряват многофакторно удостоверяване с бързи темпове, кражбата на потребителски идентификационни данни не е достатъчна за получаване на достъп до акаунт, ако MFA е активирана. За да заобиколят MFA, хакерите се обръщат към инструменти като Evilginx2, Muraena и Modilshka.
Използвайки тези обратни проксита, противниците могат да седят по средата между жертвата и сървъра на доставчика на имейл, поради което се наричат „AiTM“ (противник по средата).
Имейл сървърът изисква кода на MFA по време на процеса на влизане и комплектът за фишинг предава тази заявка на жертвата, която след това въвежда OTP в полето за фишинг. Данните се препращат към имейл услугата, което позволява на хакера да влезе в откраднатия акаунт.
Въпреки това, фишинг проксито, което се намира в средата на този обмен, може да открадне получените бисквитки за удостоверяване, позволявайки на бандитите да ги използват, за да влязат и да заобиколят MFA за конкретния акаунт.
Това, което отличава тази кампания, е използването на персонализиран комплект за фишинг, базиран на прокси, който има особеността да използва инструмента за анализ на HTML и XML „Beautiful Soup“.
Този инструмент позволява на комплекта лесно да променя легитимните страници за вход, извлечени от корпоративни входове, и да добавя свои собствени фишинг елементи. Инструментът има и допълнителната полза от разкрасяването на HTML в процеса.
Комплектът обаче не е перфектен, тъй като Zscaler откри някои изтичания на URL адреси към заявките, изпратени до сървъра на Microsoft, което може да направи откриването им възможно от страна на доставчика.
Zscaler създаде тестов екземпляр, за да позволи на атакуващия да броди и да наблюдава тяхната дейност след компромис и установи, че хакерите са влезли в акаунта си осем минути след пробива.
Освен влизането в акаунта и оценката му и прочитането на някои от съобщенията, хакерът не е извършил никакви допълнителни действия.
Снимки и адаптиран текст: Zscaler
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.