マイクロソフトは洗練されたフィッシングキャンペーンに対して警告します
マイクロソフトセキュリティインテリジェンスは、現在進行中のフィッシングキャンペーンに対する警告をツイートしました。フィッシング攻撃はOffice365のユーザーと組織を標的にしており、多くの説得力のあるルアーを使用しています。
このキャンペーンでは、なりすましの送信者の電子メールアドレスとターゲットドメインを使用して、可能な限り正当なものに見え、自動化された電子メールフィルターを通過するように努めています。
Microsoftは、送信者のアドレス文字列に「紹介」という単語のさまざまなバージョンが含まれ、com dot comを含むさまざまなドメインからのものであると警告しています。これは、Microsoftの研究者によるとなりすましの一般的な光景です。
キャンペーンでは、侵害されたSharePointページも使用して、被害者にログイン資格情報の入力を求めます。ログイン資格情報は盗まれます。 SharePointは電子メールメッセージにも表示され、ツイートによると、枯れた「ボーナス」、「価格表」、または「スタッフレポート」と関係があるファイルを共有していると思われます。
餌として使用されるファイルへのリンクは、被害者の資格情報を盗む悪意のあるSharePointの偽のログインページを参照しています。
レポートによると、フィッシングメールには、問題のある2つのURLが含まれており、どちらも「不正な形式のHTTPヘッダー」が含まれています。これらのURLの1つは、Google App Engine AppSpotドメイン(ウェブアプリに使用されるストレージサービス)を指しています。ユーザーがそのページにログインすると、資格情報を盗み出すなりすましのOffice365ページが参照されます。
レポートによると、フィッシングキャンペーンを実行している事業者は、正当なストレージサービスとURLを使用して悪意のあるフィッシングページをホストしています。これらには、GoogleとMicrosoftの両方、およびDigitalOceanからのURLが含まれます。
マイクロソフトは、このキャンペーンは、電子メールに埋め込まれた説得力のある外観のロゴを使用し、検出を回避するためにさらに努力して、工場のフィッシング活動のほとんどの実行よりも関与していると述べています。