Microsoft захватила 6 доменов, которые использовали мошенничество с COVID-19 для взлома учетных записей Office 365

В декабре 2019 года группа киберпреступников начала хитрую фишинговую кампанию, нацеленную на организации в 62 странах мира. Их целью было захватить некоторые учетные записи Office 365 и получить доступ ко всему, от списков контактов до конфиденциальных файлов. Microsoft заметила атаку и приняла меры для защиты своих клиентов. Первоначально кампания была остановлена, но, к сожалению, меры сработали ненадолго, и хакеры вернулись с очередной волной атак.

Удивительно или нет, но Microsoft снова начала действовать, и после определения некоторых доменов, использованных во время кампании, она подала судебные иски и попросила взять их под контроль. Согласно судебному документу, опубликованному ZDNet во вторник, софтверный гигант теперь контролирует шесть доменов, которые до недавнего времени принадлежали мошенникам.

Это определенно хорошая новость, но давайте посмотрим, положит ли решение суда конец нападениям преступников навсегда.

Фишинговая афера COVID-19 предназначена для пользователей Office 365

Мошенничество началось с социальной инженерии электронной почты. В этих сообщениях говорилось, что сотрудник организации или доверенный партнер делится документом Office 365, и первоначально были поставлены задачи, заключающиеся в том, что, щелкнув ссылку в сообщении электронной почты, они увидят что-то вроде квартального финансового отчета. Однако в разгар пандемии коронавируса хакеры начали маскировать свои вредоносные ссылки под деловые документы, связанные с COVID-19.

Как вы можете себе представить, ссылка в электронном письме не привела к документу Office 365 какого-либо описания. Согласно ZDNet, он сначала отправил пользователей в законную форму входа Microsoft, а после успешной аутентификации перенаправил их в один из захваченных доменов.

Фишинговая атака с изюминкой

Конечная цель злоумышленников состояла в том, чтобы захватить учетную запись Office 365, но, как ни странно, они не сделали это с помощью учетных данных для входа. Вместо этого они делали это с помощью вредоносных приложений Office 365, размещенных на доменах, которые теперь принадлежат Microsoft.

Эффективное использование Office 365 в определенных организациях зависит от различных приложений, которые улучшают функциональность или безопасность службы, и пользователи не привыкли подключать их к своим учетным записям. Все приложения Office 365 запрашивают разрешения перед подключением к учетной записи пользователя, и вредоносные приложения мошенников не стали исключением. Обманутые атмосферой легитимности, создаваемой дизайном приложений, жертвы, которые попали в аферу, предоставили киберпреступникам более или менее неограниченный доступ к своим электронным письмам, файлам, спискам контактов и настройкам. И они сделали это, не раскрывая свои пароли.

Это была сложная атака Business E-mail (BEC), и трудно даже представить, сколько она может стоить. Захват вредоносных доменов означает, что приложения больше не активны, и кампания на данный момент остановлена, но, к сожалению, мы изо всех сил пытаемся выяснить, что может помешать киберпреступникам зарегистрировать новые домены и возобновить свои усилия в любое время.

Вредоносные приложения Office 365 представляют собой необычный и относительно новый вектор атаки, и, как вы можете видеть, он может быть безжалостно эффективным. Компании и организации, использующие сервисы Microsoft, не должны недооценивать их и должны как можно быстрее включать их в свои модели угроз.