Hackare försöker stjäla inloggningsdata för Microsoft-konton med hjälp av en smart Google Drive-bedrägeri

Vissa inloggningsuppgifter är mer värdefulla än andra, och inte överraskande, phishingattackerna riktade till de viktiga kontona tenderar att vara mycket mer sofistikerade och genomtänkta. I januari snubblade forskare från Check Point över en phishing-kampanj, som de bara skrev om på tisdag, och de visade oss hur svårt att upptäcka de väl utformade attackerna kan vara.

Scammers försökte stjäla användarnas Office 365-referenser med en smart phishing-attack

E-postmeddelandena skickades till anställda i organisationer som använder Office 365. Först skulle meddelandet omdirigera offret till en moln-värd PDF-fil som innehöll en länk, som förmodligen skulle leda till ett delat dokument som den anställde är intresserad av. Länken omdirigerades till vad ser ut som en SharePoint-inloggningssida som bad användaren att logga in. De kunde göra det antingen med sina Office 365-referenser eller med sitt organisations-ID. Vilket alternativ de valde, en popup med ett övertygande utseende för inloggningsformulär från Microsoft skulle dyka upp, och all information de angav det skulle skickas direkt till skurkarna.

Om du går igenom Check Points skärmdumpar ser du att de grammatiska och stavfel vi ofta förknippar med phishingattacker inte finns någonstans att se. Formateringen är ganska mycket exakt samma som originalet, och under hela operationen kan användare lätt bli lurade att de verkligen håller på att logga in på sina Microsoft-konton. När de väl har skrivit in sina inloggningsuppgifter omdirigeras de till en äkta rapport från ett globalt konsultföretag, vilket kan göra allt ännu mer trovärdig. Detta är inte det enda som gör att denna attack sticker ut från resten.

Phishers använde Googles molntjänster i stor utsträckning

Den första PDF som offren såg var värd på Google Drive. Den SharePoint-imiterande sidan som den länkades till hade också laddats upp till Googles molntjänsttjänster, och det var också den skadliga inloggningsformen.

Det är uppenbart att det inte är normalt att se en inloggningssida från Microsoft som är värd på infrastruktur som ägs av Google, men svindlarna visste att få användare tenderar att vara uppmärksamma på adressfältet när de anger sina inloggningsuppgifter. De visste också att de som gör det är mindre benägna att bli misstänkta om de ser en domän som de känner igen.

Genom att använda Googles tjänster lyckas phisharna också undvika noggrann granskning både från automatiserade verktyg och från systemadministratörer som övervakar de anställdas aktiviteter. Sammantaget gjorde användningen av Googles moln attacken mycket mer benägna att lyckas.

Attacken organiserades av en grupp rutinerade phishers

Nivån på sofistikerad demonstration av phisharna borde inte vara så överraskande med tanke på hur mycket erfarenhet de har. Strax efter att ha upptäckt attacken meddelade forskarna Google och de skadliga sidorna togs ner. Innan de gick offline, kontrollerade CheckPunkts experter emellertid källkoden och märkte att även om sidorna var värd på Googles moln laddades huvuddelen av resurserna från prvtsmtp [.] Com, en extern domän.

Domänen pekade på en ukrainsk server som har använts i en hel del phishing-kampanjer. Först var det värd för själva skadliga sidor, och det var senare en del av infrastrukturen under attacker som använde Microsofts Azure-molntjänster.

Check Pots forskare hjälpte till att få slut på attacken de upptäckte i januari, men det är osannolikt att de kommer att stoppa den erfarna gruppen phishers som står bakom den för gott. Endast tiden kommer att visa vad cyberkriminella nästa drag kommer att bli. Under tiden måste anställda över hela världen vara särskilt försiktiga var och när de skriver in sina inloggningsuppgifter.