Microsoft varuje pred rozšírenými phishingovými útokmi pomocou otvorených presmerovaní

Spoločnosť Microsoft varuje pred rozsiahlou kampaňou proti neoprávnenému získavaniu údajov, ktorá využíva otvorené odkazy na presmerovanie v e-mailovej komunikácii ako vektor na oklamanie používateľov, aby navštívili škodlivé webové stránky a zároveň efektívne obchádzali bezpečnostný softvér.

„Útočníci kombinujú tieto prepojenia s návnadami sociálneho inžinierstva, ktoré sa vydávajú za známe nástroje a služby produktivity, aby nalákali používateľov na klikanie,“ uviedol tím Microsoft 365 Defender Threat Intelligence Team v správe zverejnenej tento týždeň.

„To vedie k sérii presmerovaní – vrátane overovacej stránky CAPTCHA, ktorá dodáva pocit legitímnosti a pokusov vyhnúť sa niektorým automatizovaným analytickým systémom – predtým, než sa používateľ dostane na falošnú prihlasovaciu stránku. To v konečnom dôsledku vedie ku kompromitácii poverenia, ktorá otvára používateľa a jeho organizáciu ďalším útokom.“

Hoci presmerovanie odkazov v e-mailových správach slúži ako dôležitý nástroj na presmerovanie príjemcov na webové stránky tretích strán alebo sledovanie miery kliknutí a meranie úspešnosti predajných a marketingových kampaní, rovnakú techniku ​​môžu protivníci zneužiť na presmerovanie takýchto odkazov na svoju vlastnú infraštruktúru, napr. zároveň ponechať dôveryhodnú doménu v celej adrese URL nedotknutú, aby sa vyhli analýze antimalvérovými nástrojmi, a to aj vtedy, keď sa používatelia pokúsia umiestniť kurzor myši na odkazy, aby skontrolovali akékoľvek známky podozrivého obsahu.

Aby sa potenciálne obete dostali na phishingové stránky, presmerovacie adresy URL vložené do správy sú nastavené pomocou legitímnej služby, zatiaľ čo konečné domény kontrolované aktérmi obsiahnuté v odkaze využívajú domény najvyššej úrovne .xyz, .club, .shop, a .online (napr. „c-tl[.]xyz”), ktoré sa však odovzdávajú ako parametre, aby sa dostali cez riešenia e-mailových brán.

Microsoft uviedol, že v rámci kampane pozoroval najmenej 350 jedinečných phishingových domén – ďalší pokus o utajenie odhaľovania – a podčiarkol efektívne využitie presvedčivých návnad sociálneho inžinierstva, ktoré sa tvária ako notifikačné správy z aplikácií ako Office 365 a Zoom. technika vyhýbania sa detekcii a trvalá infraštruktúra na vykonávanie útokov.

“To ukazuje nielen rozsah, v akom je tento útok vedený, ale tiež ukazuje, koľko doň útočníci investujú, čo naznačuje potenciálne významné výnosy,” uviedli vedci.

Aby útok získal nádych autentickosti, kliknutie na špeciálne vytvorený odkaz presmeruje používateľov na škodlivú vstupnú stránku, ktorá využíva Google reCAPTCHA na blokovanie akýchkoľvek pokusov o dynamické skenovanie. Po dokončení overenia CAPTCHA sa obetiam zobrazí podvodná prihlasovacia stránka napodobňujúca známu službu, ako je Microsoft Office 365, len preto, aby pri odoslaní informácií prešli heslom.

„Táto phishingová kampaň je príkladom dokonalej búrky [social engineering, detection evasion, and a large attack infrastructure] v snahe ukradnúť poverenia a v konečnom dôsledku preniknúť do siete,“ uviedli vedci. „A vzhľadom na to, že 91 % všetkých kybernetických útokov pochádza z e-mailu, organizácie musia mať bezpečnostné riešenie, ktoré im poskytne viacvrstvovú obranu proti týmto typom útokov. .”