Мошенники пытаются украсть учетные данные для входа в Microsoft 365 людей, работающих в вооруженных силах США, разработке программного обеспечения для обеспечения безопасности, производственных цепочек поставок, медицинских и фармацевтических компаний, с помощью тщательно продуманной фишинговой кампании, в которой используются поддельные голосовые сообщения и поддельные страницы входа в Microsoft.
Сотрудники этих компаний получили поддельные уведомления по электронной почте, в которых утверждалось, что кто-то из их организации отправил им голосовое сообщение.
Само электронное письмо, по-видимому, пришло от компании, но компания ZScaler, занимающаяся облачной безопасностью, обнаружила, что настоящий отправитель на самом деле злоупотребляет японской службой электронной почты, чтобы скрыть свой адрес и настоящую личность (откроется в новой вкладке).
Если жертва клюнула на приманку и нажала на вложение электронной почты в формате HTML, она сначала была бы перенаправлена на проверку CAPTCHA, цель которой двояка: обойти антифишинговые инструменты и убедить жертву в ее легитимности.
кража учетных данных
Как только жертва проходит проверку, она перенаправляется (открывается в новой вкладке) на фактический фишинговый сайт, целевую страницу, которая выглядит идентично странице входа в Microsoft 365. Здесь, если жертвы вводят свои учетные данные, они поделиться ими с злоумышленниками.
Учетные записи Microsoft 365 пользуются большим спросом у мошенников, поскольку они предлагают кладезь ценной информации, которая может привести к разрушительным атакам второго этапа. Преступники могут использовать его для развертывания вредоносного ПО (откроется в новой вкладке) и программ-вымогателей, установки криптомайнеров на мощных серверах и даже проведения разрушительных атак на цепочку поставок.
Атака цепочки поставок Solar Winds, нацеленная на государственные учреждения, учреждения и несколько ведущих технологических компаний США, началась со взломанной учетной записи Microsoft 365.
В декабре 2020 года была обнаружена масштабная попытка кибершпионажа, которая заразила цепочку поставок программного обеспечения с помощью поддельного обновления программного обеспечения SolarWinds. Атака, возложенная на спонсируемых государством российских хакеров, затронула девять федеральных агентств, а также многочисленные компании частного сектора.
Было несколько слушаний в Конгрессе по взлому SolarWinds, и этот инцидент также привел к санкциям против нескольких российских компаний, занимающихся кибербезопасностью. Однако никто не смог определить истинный масштаб атаки, отчасти потому, что было довольно сложно проследить шаги нападавших.
Через: BleepingComputer (открывается в новой вкладке)