Microsoft отслеживает текущую фишинговую атаку Office 365, в которой используются несколько методов, позволяющих избежать автоматического анализа атак на корпоративные объекты.
«Мы отслеживаем активную фишинговую атаку с учетными данными, нацеленную на предприятия, которая использует несколько изощренных методов обхода защиты и социальной инженерии», - заявили в Microsoft.
«В кампании используются своевременные приманки, относящиеся к удаленной работе, такие как обновление паролей, информация для конференц-связи, билеты в службу поддержки и т. Д.»
Пользовательские поддомены и автоматическое перенаправление на легитимные домены
Одна из тактик уклонения, используемая в этой атаке с кражей учетных данных, - это использование URL-адресов перенаправителя с возможностью обнаружения входящих соединений из сред песочницы, обычно используемых исследователями безопасности для получения дополнительной информации об атаке.Как только такое соединение будет обнаружено, перенаправитель переключится с отправки потенциальных жертв на целевую страницу фишинга на перенаправление любых попыток автоматического анализа на легитимные сайты.
Это позволяет фишерам быть уверенным, что их фишинговые страницы будут посещать только реальные пользователи, что значительно снижает вероятность блокировки их атак и увеличивает вероятность того, что на их фишинговые сайты будут заманивать реальных людей.
Фишинговые электронные письма, используемые в этой кампании, также сильно запутываются, чтобы гарантировать, что безопасные почтовые шлюзы не смогут обнаруживать вредоносные сообщения и автоматически блокировать их до того, как они попадут в почтовые ящики целей.
Примеры фишинговых писем ( Microsoft )
Эта кампания также создает настраиваемые поддомены для использования с сайтами-перенаправителями для каждой из целей в качестве метода, позволяющего сделать фишинговые URL-адреса более правдоподобными в глазах целей и, таким образом, повысить успешность атак.
Эти поддомены создаются с использованием нескольких форматов, но они почти всегда будут содержать имя пользователя цели и имя домена своей организации.
«Этот уникальный субдомен добавляется к набору базовых доменов, обычно это взломанные сайты», - пояснила Microsoft . «Примечательно, что фишинговые URL имеют дополнительную точку после TLD, за которой следует адрес электронной почты получателя в кодировке Base64».
«Уникальные субдомены также означают огромное количество фишинговых URL-адресов в этой кампании, попытку избежать обнаружения».
Шаблоны отображаемых имен, такие как «Обновление пароля», «Защита Exchange», «Служба поддержки- #», «SharePoint» и «Projects_communications», также используются в качестве приманки социальной инженерии, чтобы повысить вероятность того, что цели уступят место фишингу. URL-адреса, встроенные в каждое электронное письмо.
Шаблон создания настраиваемого поддомена ( Microsoft )
Инновационная тактика уклонения
Ранее в этом месяце была обнаружена еще одна фишинговая кампания Office 365 при инвертировании изображений, используемых в качестве фона для целевых страниц, чтобы их не пометили как вредоносные движки веб-сканирования, используемые для обнаружения фишинговых сайтов.Набор для фишинга, разработанный для использования этой новой тактики, автоматически восстанавливает фон с помощью каскадных таблиц стилей (CSS), чтобы вернуться к исходному фону страниц входа в Office 365, которые они пытаются имитировать.
Таким образом, фишинговые цели, которые перенаправляются на одну из этих целевых страниц, будут видеть исходный фон, а не перевернутые изображения фона, с которыми работают поисковые роботы.
В предыдущих фишинговых кампаниях, нацеленных на пользователей Office 365, также использовались новаторские приемы, такие как злоупотребление Google Ads для обхода безопасных почтовых шлюзов, использование облачных сервисов, таких как Google Cloud Services , Microsoft Azure, Microsoft Dynamics и IBM Cloud, для размещения фишинговых целевых страниц, а также тестирование украденный логин в реальном времени .
Перевод с английского - Google
