Обнаружена опасная фишинговая атака на пользователей Microsoft

Злоумышленники все чаще используют Greatness, провайдера фишинга как услуги (PhaaS), для нацеливания на компании по всему миру с аутентичными целевыми страницами, которые на самом деле просто крадут конфиденциальные данные.

Обнаружена опасная фишинговая атака, нацеленная на пользователей Microsoft. Фото: СС0

Согласно новому отчету Cisco Talos, инструмент, впервые созданный в середине 2022 года, демонстрирует значительный рост числа пользователей, поскольку злоумышленники нацелены на учетные записи Microsoft 365 компаний из США, Канады, Великобритании, Австралии и Южной Африки.

Злоумышленники атакуют фирмы в сфере производства, здравоохранения, технологий, образования, недвижимости, строительства, финансов и бизнес-услуг, стремясь получить конфиденциальные данные или учетные данные пользователей.

Хуже всего то, что Greatness значительно упрощает процесс настройки фишинговой кампании, существенно снижая порог входа.

Чтобы атаковать фирму, хакерам нужно сделать всего несколько вещей: войти в сервис, используя свой API-ключ, предоставить список целевых адресов электронной почты и создать содержимое электронной почты (и изменить любые другие детали по умолчанию по своему усмотрению).

После этого Greatness занимается рутинной работой по рассылке жертв. Те, кто попадутся на уловку и откроют сопроводительное вложение, получат запутанный код ЯваСкрипт, который соединяется с сервером службы и захватывает вредоносную целевую страницу.

Сама страница частично автоматизирована — она берет журнал целевой компании и фоновое изображение с подлинной страницы входа в Microsoft 365 работодателя и предварительно заполняет правильный адрес электронной почты, делая его более правдоподобным для цели.

Затем целевая страница действует как посредник между пользователем и фактической страницей входа в Microsoft 365, проходя через процесс проверки подлинности и даже запрашивая код MFA, если для учетной записи настроена многофакторная проверка подлинности. Как только пользователь входит в систему, злоумышленники захватывают файл cookie сеанса через Telegram, обходят MFA и получают доступ.

Из сообщения Cisco:

«Аутентифицированные сеансы обычно истекают через некоторое время, что, возможно, является одной из причин, по которой используется бот телеграммы — он информирует злоумышленника о действительных файлах cookie как можно скорее, чтобы гарантировать, что они могут быстро добраться, если цель интересна».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме