Злоумышленники отправляют зашифрованные вложения RPMSG из краденных учёток Microsoft 365 для фишинга
Злоумышленники отправляют зашифрованные вложения RPMSG из краденных учёток Microsoft 365 для фишинга. Фото: СС0
Файлы RPMSG, также известные как файлы сообщений с ограниченным доступом, представляют собой зашифрованные вложения к сообщениям электронной почты, созданные с помощью служб управления правами Microsoft (RMS). Они обеспечивают дополнительный уровень защиты конфиденциальной информации, ограничивая доступ неавторизованным получателям.
Получатели, желающие прочитать их, должны пройти аутентификацию с помощью своей учетной записи Microsoft или получить одноразовый пароль для расшифровки содержимого.
Как недавно обнаружили исследователи Trustwave, требования аутентификации RPMSG теперь используются для того, чтобы обманом заставить цели передать свои учетные данные Microsoft, используя поддельные формы входа.
Из сообщения исследователей безопасности:
«Все начинается с электронного письма, отправленного со взломанной учетной записи Microsoft 365, в данном случае от Talus Pay, компании, занимающейся обработкой платежей. Получатели были пользователями в отделе выставления счетов компании-получателя. Сообщение показывает зашифрованное сообщение Microsoft».
В письме злоумышленники просят жертв нажать кнопку «Прочитать сообщение», чтобы расшифровать и открыть защищенное сообщение, перенаправляя их на веб-страницу Office 365 с запросом на вход в свою учетную запись Microsoft.
После аутентификации с использованием этой легитимной службы Microsoft получатели, наконец, могут увидеть фишинговое электронное письмо злоумышленников, которое отправит их на поддельный документ SharePoint, размещенный в службе Adobe InDesign, после нажатия кнопки «Нажмите здесь, чтобы продолжить».
Оттуда жертва попадет на пустую страницу и сообщение «Загрузка... Подождите» в строке заголовка, которое действует как приманка, позволяющая вредоносному сценарию собирать различные системные файлы и другую информацию.
Собранные данные включают в себя идентификатор посетителя, токен подключения и хэш, информацию об рендерере видеокарты, язык системы, память устройства, аппаратный параллелизм, установленные плагины браузера, сведения об окне браузера и архитектуру ОС.
После того, как сценарий завершит сбор данных о целях, на странице отобразится клонированная форма входа в Microsoft 365, которая отправит введенные имена пользователей и пароли на серверы, контролируемые злоумышленниками.
Как отмечают исследователи Trustwave, обнаружение и противодействие таким фишинговым атакам может оказаться довольно сложной задачей из-за их небольшого объема и целенаправленного характера.
Более того, использование злоумышленниками доверенных облачных служб, таких как Microsoft и Adobe, для отправки фишинговых электронных писем и размещения контента добавляет дополнительный уровень сложности.
Зашифрованные вложения RPMSG также скрывают фишинговые сообщения от шлюзов сканирования электронной почты, учитывая, что единственная гиперссылка в исходном фишинговом письме направляет потенциальных жертв на законную службу Microsoft.
Из сообщения исследователей безопасности:
«Объясните своим пользователям характер угрозы и не пытайтесь расшифровывать или разблокировать неожиданные сообщения из внешних источников. Чтобы предотвратить компрометацию учетных записей Microsoft 365, включите многофакторную аутентификацию (MFA)».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Упомянутый сервис
31828
Комментариев пока не было