Microsoft nam 6 domeinen over die COVID-19-oplichting gebruikten om Office 365-accounts te kapen

In december 2019 startte een groep cybercriminelen een slimme phishing-campagne gericht op organisaties in 62 landen over de hele wereld. Hun doel was om een aantal Office 365-accounts te kapen en toegang te krijgen tot alles, van contactenlijsten tot gevoelige bestanden. Microsoft merkte de aanval op en ondernam actie om haar klanten te beschermen. De campagne werd aanvankelijk stopgezet, maar helaas werkten de maatregelen slechts korte tijd en kwamen de hackers terug met een nieuwe golf van aanvallen.

Verrassend of niet, Microsoft kwam opnieuw in actie en na het identificeren van enkele van de domeinen die tijdens de campagne werden gebruikt, diende het juridische stappen in en verzocht het om de controle over hen over te nemen. Volgens een gerechtelijk document dat ZDNet dinsdag publiceerde, beheert de softwaregigant nu zes domeinen die tot voor kort toebehoorden aan de boeven.

Dit is absoluut goed nieuws, maar laten we eens kijken of de beslissing van de rechtbank de aanvallen van de criminelen voorgoed zal beëindigen.

Een COVID-19 phishing-zwendel is gericht op Office 365-gebruikers

De zwendel begon met een sociaal ontworpen e-mail. In de berichten stond dat een medewerker van de organisatie of een vertrouwde partner een Office 365-document deelt, en aanvankelijk werd er bij de doelen gedacht dat ze door op de link in de e-mail te klikken, zoiets als een driemaandelijks financieel rapport zouden zien. In het midden van de coronaviruspandemie begonnen de hackers hun kwaadaardige links te vermommen als COVID-19-gerelateerde bedrijfsdocumenten.

Zoals je je misschien kunt voorstellen, leidde de link in de e-mail niet naar een Office 365-document met een beschrijving. Volgens ZDNet stuurde het eerst gebruikers naar het legitieme aanmeldingsformulier van Microsoft en na succesvolle authenticatie leidde het hen om naar een van de in beslag genomen domeinen.

Een phishing-aanval met een twist

Het uiteindelijke doel van de aanvaller was om het Office 365-account van het doelwit over te nemen, maar vreemd genoeg deden ze dat niet met behulp van inloggegevens. In plaats daarvan deden ze het via kwaadaardige Office 365-apps die werden gehost op de domeinen die Microsoft nu bezit.

Het efficiënte gebruik van Office 365 bij bepaalde organisaties is afhankelijk van verschillende apps die de functionaliteit of beveiliging van de service verbeteren, en gebruikers zijn geen onbekenden om ze aan hun accounts te koppelen. Alle Office 365-apps vragen toestemming voordat ze verbinding maken met het account van de gebruiker, en de kwaadaardige applicaties van de oplichters waren geen uitzondering. Voor de gek gehouden door de schijn van legitimiteit die werd gecreëerd door het ontwerp van de apps, gaven slachtoffers die voor de zwendel vielen cybercriminelen min of meer onbeperkte toegang tot hun e-mails, bestanden, contactenlijsten en instellingen. En ze deden het zonder hun wachtwoorden te onthullen.

Het was een geavanceerde Business Email Compromise (BEC) -aanval en het is moeilijk voor te stellen hoeveel het had kunnen kosten. De inbeslagname van de kwaadaardige domeinen betekent dat de apps niet langer actief zijn en dat de campagne voorlopig is gestopt, maar helaas hebben we moeite om te zien wat de cybercriminelen ervan kan weerhouden nieuwe domeinen te registreren en hun inspanningen op elk moment te vernieuwen.

Schadelijke Office 365-apps vormen een ongebruikelijke en relatief nieuwe aanvalsvector en zoals u kunt zien, kan deze meedogenloos effectief zijn. Bedrijven en organisaties die de services van Microsoft gebruiken, mogen dit niet onderschatten en moeten het zo snel mogelijk opnemen in hun bedreigingsmodellen.