Исследователи Zscaler ThreatLabz предупредили о новой крупномасштабной фишинговой кампании, направленной на пользователей Microsoft Outlook. Команда ThreatLabz обнаружила новый набор для фишинга , который использует AiTM-модель (adversary-in-the-middle, AiTM) для обхода средств защиты и многофакторной аутентификации .
Целями фишинга являются организации из сферы финансов, кредитования, страхования, энергетики, производства, расположенные в США, Великобритании, Новой Зеландии и Австралии. Кампания охватывает конечных пользователей на предприятиях, использующих службы электронной почты Microsoft.
Кампания проводится с июня 2022 года и начинается с электронного письма с просьбой проверить выставленный счет, содержащего HTML-вложение, которое включает встроенный в него фишинговый URL-адрес.
Открытие вложения в веб-браузере перенаправляет пользователя на фишинговую страницу входа в Microsoft Office. В этот момент злоумышленник предварительно узнает цифровой отпечаток компьютера, чтобы определить, действительно ли жертва является предполагаемой целью.
Для обхода средств защиты целевая страница работает как прокси-сервер, который перехватывает все сообщения между жертвой и сервером электронной почты. По словам исследователей, фишинговый комплект перехватывает HTML-контент с серверов Microsoft и обрабатывает его различными способами, чтобы убедиться, что процесс фишинга работает, затем отправляет контент обратно жертве.
Это влечет за собой замену всех ссылок на домены Microsoft эквивалентными ссылками на фишинговый домен, чтобы обмен данными с мошенническим сайтом остался без изменений на протяжении всего сеанса.
Согласно наблюдениям Zscaler, злоумышленник вручную входил в учетную запись через 8 минут после кражи учетных данных, а затем читал электронные письма и проверял информацию профиля пользователя. Более того, в некоторых случаях взломанные почтовые ящики использовались для отправки дополнительных фишинговых писем в рамках той же кампании.
С помощью инновационных наборов инструментов для фишинга и умных методов уклонения злоумышленник может обойти как традиционные, так и передовые решения безопасности, включая МФА. BEC-атаки продолжают оставаться постоянной угрозой для организаций, и эта кампания еще раз подчеркивает необходимость защиты от таких атак.
Источник: SecurityLab