Microsoft, yıl boyunca uzun ve son derece kaçırıcı mızraksız bir kampanyanın, Office 365 müşterilerini 2020 Temmuz'dan itibaren birden fazla saldırı dalgalarında hedeflediğini söylüyor.
Devam eden kimlik avı kampanyası, fatura temalı XLS.HTML eklerini kullanarak Office 365 kimlik bilgilerini ve e-posta adresleri ve şirket logoları gibi potansiyel mağdurlarla ilgili çeşitli bilgilerlerini kullanmalarını hedefler.
Bu, tehdit aktörlerinin, kampanyanın sosyal mühendislik yoluyla etkinliğini arttıran, saldırının bir keşif aşamasında hedefleri hakkında veri topladığını göstermektedir.
Microsoft 365 Defender Tehdit İstihbarat Ekibi, "Bu Kampanya'nın temel amacı, kullanıcı adlarını, şifreleri ve daha son yinelemeyi, daha sonraki infiltrasyon denemeleri için ilk giriş noktası olarak kullandığı IP adresi ve konumu gibi diğer bilgileri hasat etmektir." .
Bununla birlikte, bu saldırı serisi, e-posta güvenliği çözümlerini ortadan kaldırmak için kimlik avı e-postalarını şaşırtmak için saldırganların sürekli çabalarıyla diğerlerinden öne çıkıyor.
"Bu kimlik avı kampanyası durumunda, bu girişimler, JavaScript gibi bilinen mevcut dosya türleri için çok katmanlı koku ve şifreleme mekanizmalarını kullanıyor.
Bu kimlik avı e-postalarıyla birlikte verilen xls.html veya xslx.html ekleri, zararsız görünmek için farklı yöntemler kullanılarak kodlanan birden fazla bölüme ayrılır ve e-posta güvenliği kontrollerini atlar.
Microsoft'un ortaya çıktığı için, hedeflerin gelen kutularına mızraksız kimlik avı e-postaları ile birlikte verilen bölümler şunları içerir:
Kampanya boyunca, saldırganlar, her bir segment için farklı yöntemler kullanarak ve düz metin HTML kodu, kaçan, Base64, ASCII Chars ve hatta Morse Kodu arasında geçiş yapma ve hatta geçiş yapılması için kodlama mekanizmalarını değiştirdiler.
BleepingComputer, Phishing Kampanyası bu yeni tekniği kullanmaya başladığında, Şubat ayında Morse Kodu Obfuscation'da daha fazla ayrıntı paylaştı.
Hedefler kötü amaçlı eki başlatmaya zorlanırsa, mağdurun varsayılan web tarayıcısındaki bulanık bir Excel belgesi üzerinden sahte bir Office 365 giriş iletişim kutusunu görüntüleyecektir.
Hedeflerin e-posta adreslerini ve şirketlerinin logosuna da sahip olan bu oturum açma kutusu, oturum açma oturumları zaman aşımına uğradığı için bulanık belgeye erişmek için şifrelerini tekrar girmelerini ister.
Hedef şifrelerine girerse, bir komut dosyası derhal gönderilen şifrenin yanlış olduğunu ve şifreyi ve diğer hasat kullanıcı verilerini saldırganın kimlik avı kitine gönderdiğini söyleyen bir uyarı gösterecektir.
"[Bu] hedeflenen, fatura temalı xls.html kimlik avı kampanyası, saldırganlar, ortalama olarak her 37 günde bir budama ve şifreleme mekanizmalarını, sürekli olarak kaçınmak ve kimlik bilgisi hırsızlığını çalıştırmaya devam etmek için yüksek motivasyon ve beceri gösteren saldırganlar değiştirdi. , "Microsoft ekledi.
"Bu kimlik avı kampanyası, modern e-posta tehdidini örneklemektedir: sofistike, kaçırıcı ve acımasızca gelişen."
Microsoft ALO, 2020'den bu yana tahmini 400.000 OWA ve Office 365 kimlik bilgilerini çalan phishing operasyonunun Mart ayında uyardı ve yeni meşru hizmetleri (SEGS) atlamak için yeni meşru hizmetleri kötüye kullanmak için genişletildi.
Şirket ayrıca, Microsoft Defender ATP abonelerini, uzaktaki işçileri hedef alan artan sayıda rıza kimlik avı (aka oauth phishing) saldırılarının sonlarında uyardı.
ABD brokerleri, Finra'yı taklit eden devam eden kimlik avı saldırıları konusunda uyardı
Microsoft ekipleri gelen spam aramalarının kullanıcılarını uyaracak
Chipotle'ın pazarlama hesabı kimlik avı e-postalarını göndermeyi bıraktı
UC San Diego Sağlığı, kimlik avı saldırısından sonra veri ihlalini açıklar.
Microsoft ekipleri şimdi otomatik olarak kimlik avı girişimlerini engeller
Kaynak: Bleeping Computer