Фишинг-кампании

Злоумышленники PerSwaysion использовали множество сервисов Microsoft, чтобы скомпрометировать по меньшей мере 150 руководителей в фишинг-кампании с высокой целевой направленностью.

Целенаправленная фишинговая кампания с файловой платформы Microsoft с середины 2019 года успешно переправила учетные данные Office 365 более 150 руководителей.

Успех кампании

Исследователи связывают успех кампании с двумя частями: во-первых, она использует несколько служб обмена файлами Microsoft, чтобы убедить жертв передать свои учетные данные. Это включает в себя платформу Microsoft Sway, используемую для информационных бюллетеней и презентаций (фактически использование Sway вдохновило исследователей назвать кампанию «PerSwaysion»), а также платформы для совместной работы SharePoint и OneNote. Во-вторых, первоначальные фишинговые письма отправляются с законных, но ранее скомпрометированных адресов электронной почты, что скрывает тот факт, что они контролируются злоумышленниками.

По словам исследователей, несколько групп угроз работают вместе, чтобы выполнить PerSwaysion.

Живой пример узкоспециализированных субъектов

«Кампания PerSwaysion — это еще один живой пример узкоспециализированных субъектов, занимающихся поиском угроз, и все вместе для проведения эффективных атак в больших масштабах», — сказал Фейсян Хе, старший аналитик разведки угроз в группе IB в четверг в анализе ». Кампания по противодействию эпидемии в основном разрабатывается группой вьетнамских разработчиков вредоносного ПО.

Текущая кампания PerSwaysion ориентирована на малые и средние финансовые компании, юридические фирмы и группы по недвижимости в США, Канаде, Германии, Великобритании и других странах. Его влияние серьезное: доступ к учетным записям руководителей Office 365 предоставляет злоумышленникам полный спектр конфиденциальных корпоративных данных высшего уровня, а также возможность запуска последующих фишинговых атак на другие важные объекты.

 

Кампания PerSwaysion

Исследователи впервые обнаружили PerSwaysion после проверки фишингового электронного письма от внешнего делового партнера жертвы. Хотя в исходном письме имелись небольшие красные флажки (например, странные опечатки в теле письма), отправитель использовал законный адрес электронной почты фактического партнера жертвы.

В электронном письме было написано: «Пожалуйста, смотрите + выше + документ + от [отредактировано] для вашего обзора и дайте мне знать, если у вас есть какие-либо вопросы» Ссылка на документ представляет собой вложение в формате PDF, которое представляет собой уведомление для общего доступа к файлам Office 365. «Уведомление» включает в себя полное имя, адрес электронной почты и компанию отправителя, чтобы придать вид легитимности — однако, исследователи отметили, что оно также содержит случайные случайные строки (вероятные ошибки в программном обеспечении автоматизации, используемом мошенниками для создания PDF-файлов) ,

Если жертвы нажимают на ссылку, она отправляет их в еще один файл, притворяющийся связанным с Office 365, который размещен на платформе Microsoft Sway.

«Для неопытных глаз эта страница напоминает подлинную страницу совместного использования файлов Microsoft Office 365», — говорят исследователи. «Тем не менее, это специально созданная страница презентации, которая использует стандартное представление Sway без полей, чтобы заставить жертву [думать, что она] была частью официальной страницы входа в Office 365».

microsoft phishing campaign

Страница сообщает получателю, что отправитель поделился документом от имени компании, и снова просит цель нажать на кнопку «Начать». Наконец, эта последняя ссылка перенаправляет жертву на фактическую целевую страницу фишинга, которая, как предполагается, является страницей единого входа Microsoft (SSO) для Outlook, и просит жертву ввести свои учетные данные. Эта страница единого входа на самом деле является частью набора фишинга, который повторно использовался в течение длительного периода времени — разработчик набора скопировал версию страницы входа Microsoft в Outlook с 2017 года.

«Когда жертва отправляет свои корпоративные учетные данные Office 365, как при обычном входе в систему, конфиденциальные данные отправляются на отдельный сервер данных с дополнительным адресом электронной почты, который скрыт на странице», — говорят исследователи. «Эта дополнительная электронная почта, кажется, используется в качестве способа уведомления в режиме реального времени, чтобы мошенники реагировали на недавно собранные учетные данные».

Различные варианты атаки меняются на других платформах для обмена файлами, включая Microsoft SharePoint и OneNote. Исследователи отмечают, что, используя такие возможности Microsoft, «мошенники выбирают легальные службы обмена файлами, которые имеют возможность беспрепятственного предварительного просмотра загруженных файлов с фишинговыми ссылками». «Эта ключевая функция помогает мошенникам создавать веб-страницы, которые сильно напоминают подлинный опыт Microsoft».

Последующие операции

После считывания учетных данных жертв злоумышленники затем ополаскивают и повторяют атаку, ориентируясь на корреспондентов электронной почты жертв.

 

microsoft phishing campaign

После входа в учетные записи электронной почты жертвы, чтобы еще раз проверить их действительность, они получают доступ к корпоративному почтовому серверу жертвы и сбрасывают свои данные электронной почты. Затем злоумышленники генерируют новые фишинговые PDF-файлы, используя полные имена жертв, адреса электронной почты, официальные названия компаний и иногда официальные названия жертв. Эти PDF-файлы затем отправляются пользователям, с которыми жертвы недавно общались.

«Эти файлы PDF отправляются новым людям, которые недавно общались по электронной почте с текущей жертвой», — сказали исследователи. «Следует отметить, что мошенники PerSwaysion обычно удаляют имитирующие электронные письма из ящика жертвы, чтобы избежать подозрений».

 

Автор:
Перевод: Анна М.

Фишинг не умирает и многие до сих пор страдают от этой заразы — Смотрите как легко создать фишинговый сайт