Microsoft ostrzega przed wyrafinowaną kampanią phishingową
Microsoft Security Intelligence opublikował na Twitterze ostrzeżenie dotyczące trwającej obecnie kampanii phishingowej, która jest bardziej zaangażowana i rozbudowana niż większość. Ataki phishingowe są wymierzone w użytkowników i organizacje Office 365 i wykorzystują szereg przekonujących przynęt.
Kampania wykorzystuje sfałszowane adresy e-mail nadawców, a także domenę docelową, wszystko po to, aby wyglądać jak najbardziej wiarygodnie i przejść przez wszelkie automatyczne filtry poczty e-mail.
Microsoft ostrzega, że ciąg adresu nadawcy będzie zawierać różne wersje słowa „referral” i pochodzić z różnych domen, w tym com dot com, co według badaczy Microsoftu jest częstym zjawiskiem w spoofingu.
Kampania wykorzystuje również zhakowane strony SharePoint, które proszą ofiary o podanie danych logowania, które są następnie kradzione. W wiadomościach e-mail pojawia się również SharePoint, rzekomo udostępniający plik, który ma coś wspólnego z „bonusami”, „cennikami” lub „raportami personelu”, jak napisano w tweecie.
Odsyłacz do pliku używanego jako przynęta odnosi się do złośliwej fałszywej strony logowania do SharePoint, która kradnie dane uwierzytelniające ofiary.
Po dokładnym rozgraniczeniu i dokładnym przeanalizowaniu wiadomość phishingowa zawiera dwa problematyczne adresy URL, oba z „nieprawidłowymi nagłówkami HTTP”, zgodnie z raportem. Jeden z tych adresów URL wskazuje domenę AppSpot Google App Engine – usługę przechowywania używaną w aplikacjach internetowych. Gdy użytkownik zaloguje się na tej stronie, zostanie przekierowany do sfałszowanej strony Office 365, która wyłudza jego poświadczenia.
Raport stwierdza, że operatorzy prowadzący kampanię phishingową wykorzystywali również legalne usługi przechowywania i adresy URL do hostowania swoich złośliwych stron phishingowych. Należą do nich zarówno Google, jak i Microsoft, a także adresy URL z Digital Ocean.
Microsoft zauważył, że kampania jest bardziej zaangażowana niż większość działań phishingowych, wykorzystując przekonująco wyglądające logo osadzone w wiadomościach e-mail i dokładające wszelkich starań, aby uniknąć wykrycia.