Исследователи безопасности обнаружили новую фишинговую кампанию с использованием скомпрометированных сайтов SharePoint и документов OneNote, чтобы побудить потенциальных жертв из банковской отрасли посетить их целевые страницы.
Киберпреступники, стоящие за этой кампанией, выбрали совместную веб-платформу Microsoft SharePoint для запуска своих атак, потому что используемые ею домены часто обходят безопасные шлюзы обмена сообщениями, которые позволяют их фишинговым сообщениям фактически попадать в почтовые ящики пользователей.
После компрометации учетной записи SharePoint злоумышленники используют эту учетную запись для отправки потенциальным жертвам электронного письма с просьбой просмотреть предложение оценщика по URL-адресу, встроенному в сообщение. Исследователи Cofense обнаружили эту новую фишинговую кампанию. Они объяснили, почему их тактика так эффективна в блоге:
«SharePoint — это первоначальный механизм доставки для предоставления вредоносного вторичного URL-адреса, позволяющий субъекту угрозы обходить практически любую пограничную технологию обмена сообщениями».
прячется на виду
URL-адрес в исходном сообщении отправляет пользователей на сайт SharePoint, контролируемый злоумышленником, где поддельный документ OneNote, созданный в нечитаемой и нечитаемой форме, предлагает целевым объектам загрузить полную версию с помощью злоумышленника. Встроенная ссылка. Однако эта ссылка фактически отправляет сотрудников банка на фишинговую страницу злоумышленника.
На фишинговой странице мишени видят веб-страницу, которая заимствует удостоверение официальной страницы входа в OneDrive для бизнеса с сообщением над формой входа, которое гласит: «Этот документ защищен, пожалуйста, войдите в сеанс, чтобы просмотреть, изменить или скачать. Пожалуйста, выберите один из вариантов ниже, чтобы продолжить ».
Оттуда пользователи могут войти в систему с помощью учетной записи Office 365 или своей учетной записи любого другого поставщика электронной почты. Таким образом, если пользователь отказывается передать свои учетные данные Office 365, злоумышленники по-прежнему будут иметь доступ к другой своей учетной записи.
Как только жертва вводит свои учетные данные для входа в систему, она автоматически подхватывается набором для фишинга BlackShop Tools и становится доступной для продажи в даркнете.
Чтобы не стать жертвой фишинговой атаки, рекомендуется не открывать электронные письма от неизвестных контактов и внимательно проверять URL-адреса посещаемых веб-сайтов.
Через кровоточащий компьютер