Microsoft przejął ponad 6 domen, które wykorzystywały oszustwa COVID-19 do przejęcia kont Office 365

W grudniu 2019 r. Grupa cyberprzestępców rozpoczęła sprytną kampanię phishingową skierowaną do organizacji w 62 krajach na całym świecie. Ich celem było przejęcie niektórych kont Office 365 i uzyskanie dostępu do wszystkiego, od list kontaktów do poufnych plików. Microsoft zauważył atak i podjął działania w celu ochrony swoich klientów. Kampania początkowo została zatrzymana, ale niestety środki działały tylko przez krótki czas, a hakerzy wrócili z kolejną falą ataków.

Zaskakujące czy nie, Microsoft ponownie zaczął działać, a po zidentyfikowaniu niektórych domen używanych podczas kampanii, podjął kroki prawne i poprosił o przejęcie nad nimi kontroli. Według dokumentu sądowego, który ZDNet opublikował we wtorek, gigant oprogramowania kontroluje teraz sześć domen, które do niedawna należały do oszustów.

To zdecydowanie dobra wiadomość, ale zobaczmy, czy decyzja sądu zakończy na dobre ataki przestępców.

Oszustwo phishingowe COVID-19 atakuje użytkowników Office 365

Oszustwo rozpoczęło się od e-maila opracowanego przez społeczność. W wiadomościach podano, że pracownik organizacji lub zaufany partner udostępnia dokument Office 365, i początkowo cele miały sprawić, że kliknięcie łącza w wiadomości e-mail spowoduje wyświetlenie raportu kwartalnego. Jednak w trakcie pandemii koronawirusa hakerzy zaczęli ukrywać swoje złośliwe linki jako dokumenty biznesowe związane z COVID-19.

Jak można sobie wyobrazić, link w wiadomości e-mail nie doprowadził do dokumentu Office 365 z żadnym opisem. Według ZDNet najpierw wysłał użytkowników do legalnego formularza logowania Microsoftu, a po udanym uwierzytelnieniu przekierował ich do jednej z zajętych domen.

Atak phishingowy z niespodzianką

Ostatecznym celem atakujących było przejęcie konta Office 365 celu, ale co ciekawe, nie zrobili tego za pomocą danych logowania. Zamiast tego zrobili to za pośrednictwem złośliwych aplikacji Office 365 hostowanych w domenach, które Microsoft jest teraz właścicielem.

Wydajne korzystanie z Office 365 w niektórych organizacjach zależy od różnych aplikacji, które poprawiają funkcjonalność lub bezpieczeństwo usługi, a użytkownicy nie są obcy w łączeniu ich ze swoimi kontami. Wszystkie aplikacje Office 365 żądają uprawnień przed połączeniem się z kontem użytkownika, a złośliwe aplikacje oszustów nie były wyjątkiem. Zaskoczeni atmosferą legalności stworzoną przez projekt aplikacji, ofiary, które zakochały się w oszustwie, dały cyberprzestępcom mniej lub bardziej nieograniczony dostęp do ich e-maili, plików, list kontaktów i ustawień. I zrobili to bez ujawniania swoich haseł.

Był to wyrafinowany atak Business Email Compromise (BEC) i trudno sobie nawet wyobrazić, ile może to kosztować. Przejęcie złośliwych domen oznacza, że aplikacje nie są już aktywne, a kampania na razie się zatrzymała, ale niestety staramy się zobaczyć, co może powstrzymać cyberprzestępców od rejestracji nowych domen i wznowienia wysiłków w dowolnym momencie.

Złośliwe aplikacje Office 365 reprezentują niezwykły i stosunkowo nowy wektor ataku, a jak widać, mogą być bezwzględnie skuteczne. Firmy i organizacje korzystające z usług Microsoft nie powinny lekceważyć tego i muszą jak najszybciej uwzględnić je w swoich modelach zagrożeń.