Microsoft акаунти са атакувани с нов комплект за фишинг, заобикалящ MFA

Нова широкомащабна фишинг кампания, насочена към идентификационни данни за имейл услуги на Microsoft, използва персонализиран  фишинг, базиран на прокси, за да заобиколи многофакторното удостоверяване.

Изследователите смятат, че целта на кампанията е да се пробият корпоративни акаунти за извършване на BEC (компрометиране на бизнес имейл) атаки, отклоняващи плащания към банкови сметки под техен контрол с помощта на фалшифицирани документи.

Жертвите на фишинг кампанията включват финансови технологии, кредитиране, счетоводство, застраховане и организации на Федералния кредитен съюз в САЩ, Обединеното кралство, Нова Зеландия и Австралия.

Кампанията е открита от изследователите на ThreatLabz на Zscaler, които съобщават, че операцията все още продължава и  хакерите регистрират нови фишинг домейни почти всеки ден.

Подробности за кампанията

От юни 2022г. анализаторите на Zscaler забелязаха скок в сложните опити за фишинг срещу определени сектори и потребители на имейл услугите на Microsoft.

Някои от новорегистрираните домейни, използвани в кампанията, са версии на легитимни федерални кредитни съюзи в Съединените щати, както е показано в таблицата по-долу.

Typos-quatted domains used in the campaign

Трябва да се отбележи, че много фишинг имейли произхождат от акаунти на ръководители, работещи в тези организации, които хакерите  най-вероятно са компрометирали по-рано.

Друг набор от фишинг сайтове използва имена на домейни, които се фокусират върху използването на примамки за повторно задаване на парола като част от своите имейл кампании:

  • expiryrequest-mailaccess[.]coм
  • expirationrequest-passwordreminder[.]com
  • emailaccess-passwordnotice[.]com
  • emailaccess-expirynotification[.]com

Хакерите добавят връзките към имейлите или като бутони, вградени в тялото на съобщението, или в прикачени HTML файлове, които задействат пренасочвания към фишинг страниците.

HTML attachment containing the phishing URL

Пренасочванията се извършват чрез легитимни уеб ресурси, за да се избегнат имейл и инструменти за интернет сигурност, като престъпниците показват предпочитание за отворени пренасочвания в Google Ads, Snapchat и DoubleClick. За съжаление, някои платформи не считат отворените пренасочвания за уязвимост, оставяйки ги достъпни за злоупотреба.

Redirection examples from the campaign

С CodeSandbox и Glitch също се злоупотребява широко в тази кампания, за да могат  хакерите да създадат нови маршрути за пренасочване без много усилия.

След като жертвата достигне фишинг страницата, тя получава дигитални  отпечатъци от JavaScript, който преценява дали жертвата  е на виртуална машина или на нормално устройство. Това позволява фишинг страницата да бъде разкрита само на валидни цели, а не на софтуер за сигурност и изследователи, които може да използват виртуални машини за анализ.

Fingerprinting the site visitor

Заобикаляне на MFA с персонализиран комплект фишинг

Тъй като компаниите внедряват  многофакторно удостоверяване с бързи темпове, кражбата на потребителски идентификационни данни не е достатъчна за получаване на достъп до акаунт, ако MFA е активирана. За да заобиколят MFA, хакерите се обръщат към инструменти като Evilginx2, Muraena и Modilshka.

Използвайки тези обратни проксита, противниците могат да седят по средата между жертвата и сървъра на доставчика на имейл, поради което се наричат ​​„AiTM“ (противник по средата).

Имейл сървърът изисква кода на MFA по време на процеса на влизане и комплектът за фишинг предава тази заявка на жертвата, която след това въвежда OTP в полето за фишинг. Данните се препращат към имейл услугата, което позволява на хакера да влезе в откраднатия акаунт.

Въпреки това, фишинг проксито, което се намира в средата на този обмен, може да открадне получените бисквитки за удостоверяване, позволявайки на бандитите да ги използват, за да влязат и да заобиколят MFA за конкретния акаунт.

Това, което отличава тази кампания, е използването на персонализиран комплект за фишинг, базиран на прокси, който има особеността да използва инструмента за анализ на HTML и XML „Beautiful Soup“.

Този инструмент позволява на комплекта лесно да променя легитимните страници за вход, извлечени от корпоративни входове, и да добавя свои собствени фишинг елементи. Инструментът има и допълнителната полза от разкрасяването на HTML в процеса.

Комплектът обаче не е перфектен, тъй като Zscaler откри някои изтичания на URL адреси към заявките, изпратени до сървъра на Microsoft, което може да направи откриването им възможно от страна на доставчика.

Including the phishing domain in the server request

Zscaler създаде тестов екземпляр, за да позволи на атакуващия да броди и да наблюдава тяхната дейност след компромис и установи, че хакерите са влезли в акаунта си осем минути след пробива.

Освен влизането в акаунта и оценката му и прочитането на някои от съобщенията, хакерът  не е извършил никакви допълнителни действия.

Снимки и адаптиран текст: Zscaler

Източник: По материали от Интернет

Подобни публикации

1 април 2023

10-годишен бъг в Windows с "opt-in" поправка, и...

Десетгодишна уязвимост на Windows все още се използва при атаки, за...
1 април 2023

Интернет ви наблюдава, може би и вашият шеф?

Всеки ден се създават повече от 2,3 милиарда гигабайта интернет дан...
31 март 2023

Десет стъпки, които ще гарантират киберсигурнос...

  В неотдавнашно проучване на Panda Security в сътрудничество ...
30 март 2023

Интервю с изкуствен интелект

Не остана уважаваща себе си медия, която не е взела интервю от АI п...
30 март 2023

Exchange Online започна блокиране на имейли от ...

Microsoft въвежда нова функция за сигурност на Exchange Online, коя...
30 март 2023

Как да изберете антивирусен софтуер за вашия ма...

Работили сте усилено, за да стартирате бизнеса си. Последното нещо,...
30 март 2023

30 години уязвимости

Тенденциите в киберпрестъпността винаги се променят. През 30-те год...
29 март 2023

Термини за AI, които трябва да знаете

Объркани сте от изкуствения интелект? Не сте сами. Това кратко ръко...
Бъдете социални
Още по темата
01/04/2023

10-годишен бъг в Windows с ...

Десетгодишна уязвимост на Windows все още...
26/03/2023

Microsoft с OOB актуализаци...

Microsoft пусна извънредна актуализация на сигурността...
25/03/2023

Изследователи разкриват изм...

Неотдавнашна кампания, предприета от Earth Preta,...
Последно добавени
01/04/2023

10-годишен бъг в Windows с ...

Десетгодишна уязвимост на Windows все още...
01/04/2023

Интернет ви наблюдава, може...

Всеки ден се създават повече от...
31/03/2023

Десет стъпки, които ще гара...

  В неотдавнашно проучване на Panda...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!