Microsoft overtog 6 domæner, der brugte COVID-19-svindel til at kapre Office 365-konti

I december 2019 startede en gruppe cyberkriminelle en smart phishing-kampagne rettet mod organisationer i 62 lande rundt om i verden. Deres mål var at kapre nogle Office 365-konti og få adgang til alt fra kontaktlister til følsomme filer. Microsoft bemærkede angrebet og iværksatte foranstaltninger for at beskytte sine kunder. Kampagnen blev oprindeligt stoppet, men desværre virkede foranstaltningerne kun en kort stund, og hackerne kom tilbage med en anden bølge af angreb.

Overraskende eller ej sprang Microsoft til handling igen, og efter at have identificeret nogle af de domæner, der blev brugt under kampagnen, indgav den juridiske handlinger og anmodede om at tage kontrol over dem. Ifølge et rettsdokument, som ZDNet offentliggjorde tirsdag, kontrollerer softwaregiganten nu seks domæner, der indtil for nylig tilhørte skurkerne.

Dette er bestemt gode nyheder, men lad os se, om domstolens beslutning vil afslutte de kriminelle angreb for godt.

En COVID-19 phishing-scam er rettet mod Office 365-brugere

Bedrageriet startede med en socialt konstrueret e-mail. I meddelelserne blev det anført, at en medarbejder i organisationen eller en betroet partner deler et Office 365-dokument, og oprindeligt blev målene tænkt på, at ved at klikke på linket i e-mailen, ville de se noget som en kvartalsvis finansrapport. Midt i coronavirus-pandemien begyndte hackerne imidlertid at forklæde deres ondsindede links som COVID-19-relaterede forretningsdokumenter.

Som du måske forestiller dig, førte linket i e-mailen ikke til et Office 365-dokument med nogen beskrivelse. Ifølge ZDNet sendte det først brugere til Microsofts legitime loginformular, og efter vellykket godkendelse omdirigerede det dem til et af de beslaglagte domæner.

Et phishing-angreb med et twist

Angribernes ultimative mål var at overtage målets Office 365-konto, men underligt nok gjorde de det ikke ved hjælp af loginoplysninger. I stedet gjorde de det gennem ondsindede Office 365-apps, der er vært på de domæner, som Microsoft nu ejer.

Den effektive brug af Office 365 i visse organisationer er afhængig af forskellige apps, der forbedrer tjenestens funktionalitet eller sikkerhed, og brugerne er ikke fremmede for at forbinde dem til deres konti. Alle Office 365-apps anmoder om tilladelser, før de oprettes forbindelse til brugerens konto, og skurkenes ondsindede applikationer var ingen undtagelse. Opholdt sig med luften af legitimitet skabt af apps 'design, ofre, der faldt for svindel, gav cyberkriminelle mere eller mindre ubegrænset adgang til deres e-mails, filer, kontaktlister og indstillinger. Og de gjorde det uden at afsløre deres adgangskoder.

Det var et sofistikeret angreb fra Business Email Compromise (BEC), og det er vanskeligt at forestille sig, hvor meget det kunne have kostet. Anfaldet af de ondsindede domæner betyder, at apps ikke længere er aktive, og kampagnen er stoppet i øjeblikket, men desværre kæmper vi for at se, hvad der kan forhindre cyberkriminelle i at registrere nye domæner og forny deres indsats til enhver tid.

Ondsindede Office 365-apps repræsenterer en usædvanlig og relativt ny angrebsvektor, og som du kan se, kan det være hensynsløst effektivt. Virksomheder og organisationer, der bruger Microsofts tjenester, bør ikke undervurdere det og skal inkludere dem i deres trusselmodeller så hurtigt som muligt.