Microsoft hat über 6 Domänen übernommen, in denen COVID-19-Betrug verwendet wurde, um Office 365-Konten zu entführen

Im Dezember 2019 startete eine Gruppe von Cyberkriminellen eine clevere Phishing-Kampagne gegen Organisationen in 62 Ländern weltweit. Ihr Ziel war es, einige Office 365-Konten zu entführen und Zugriff auf alles zu erhalten, von Kontaktlisten bis hin zu vertraulichen Dateien. Microsoft bemerkte den Angriff und ergriff Maßnahmen, um seine Kunden zu schützen. Die Kampagne wurde zunächst gestoppt, aber leider funktionierten die Maßnahmen nur für kurze Zeit, und die Hacker kamen mit einer weiteren Angriffswelle zurück.

Überraschenderweise oder nicht, trat Microsoft erneut in Aktion und nachdem es einige der während der Kampagne verwendeten Domains identifiziert hatte, reichte es rechtliche Schritte ein und forderte, die Kontrolle über sie zu übernehmen. Laut einem Gerichtsdokument, das ZDNet am Dienstag veröffentlicht hat, kontrolliert der Software-Riese jetzt sechs Domains, die bis vor kurzem den Gaunern gehörten.

Das sind definitiv gute Nachrichten, aber mal sehen, ob die Entscheidung des Gerichts die Angriffe der Kriminellen endgültig beenden wird.

Ein COVID-19-Phishing-Betrug richtet sich an Office 365-Benutzer

Der Betrug begann mit einer sozial entwickelten E-Mail. In den Nachrichten wurde angegeben, dass ein Mitarbeiter der Organisation oder ein vertrauenswürdiger Partner ein Office 365-Dokument freigibt. Zunächst wurde angenommen, dass durch Klicken auf den Link in der E-Mail so etwas wie ein vierteljährlicher Finanzbericht angezeigt wird. Inmitten der Coronavirus-Pandemie begannen die Hacker jedoch, ihre böswilligen Links als COVID-19-bezogene Geschäftsdokumente zu tarnen.

Wie Sie sich vorstellen können, führte der Link in der E-Mail nicht zu einem Office 365-Dokument mit einer Beschreibung. Laut ZDNet wurden Benutzer zuerst an das legitime Anmeldeformular von Microsoft gesendet und nach erfolgreicher Authentifizierung an eine der beschlagnahmten Domänen weitergeleitet.

Ein Phishing-Angriff mit einem Twist

Das ultimative Ziel der Angreifer war es, das Office 365-Konto des Ziels zu übernehmen, aber seltsamerweise haben sie dies nicht mithilfe von Anmeldeinformationen getan. Stattdessen haben sie böswillige Office 365-Apps verwendet, die auf den Domänen gehostet werden, die Microsoft jetzt besitzt.

Die effiziente Verwendung von Office 365 in bestimmten Organisationen hängt von verschiedenen Apps ab, die die Funktionalität oder Sicherheit des Dienstes verbessern, und Benutzer sind keine Unbekannten darin, sie mit ihren Konten zu verbinden. Alle Office 365-Apps fordern Berechtigungen an, bevor eine Verbindung zum Benutzerkonto hergestellt wird, und die schädlichen Anwendungen der Gauner waren keine Ausnahme. Opfer, die sich in den Betrug verliebt hatten, gaben Cyberkriminellen mehr oder weniger uneingeschränkten Zugriff auf ihre E-Mails, Dateien, Kontaktlisten und Einstellungen. Und sie haben es getan, ohne ihre Passwörter preiszugeben.

Es war ein ausgeklügelter Business Email Compromise (BEC) -Angriff, und es ist schwer vorstellbar, wie viel er hätte kosten können. Die Beschlagnahme der bösartigen Domains bedeutet, dass die Apps nicht mehr aktiv sind und die Kampagne vorerst gestoppt wurde. Leider haben wir Probleme zu sehen, was die Cyberkriminellen davon abhalten könnte, jederzeit neue Domains zu registrieren und ihre Bemühungen zu erneuern.

Schädliche Office 365-Apps stellen einen ungewöhnlichen und relativ neuen Angriffsvektor dar und können, wie Sie sehen, rücksichtslos effektiv sein. Unternehmen und Organisationen, die die Dienste von Microsoft nutzen, sollten diese nicht unterschätzen und müssen sie so schnell wie möglich in ihre Bedrohungsmodelle aufnehmen.