Microsoft e-posta hizmetleri için kimlik bilgilerini hedefleyen yeni bir büyük ölçekli kimlik avı kampanyası, çok faktörlü kimlik doğrulamasını atlamak için özel bir proxy tabanlı kimlik avı kiti kullanır.
Araştırmacılar, kampanyanın amacının, BEC (iş e -posta uzlaşması) saldırılarını yürütmek için kurumsal hesapları ihlal etmek, ödemeleri tahrif edilmiş belgeleri kullanarak kontrolleri altındaki banka hesaplarına yönlendirmek olduğuna inanıyorlar.
Kimlik avı kampanyasının hedefleri arasında ABD, İngiltere, Yeni Zelanda ve Avustralya'da fin-teknoloji, borç verme, muhasebe, sigorta ve federal kredi birliği kuruluşları bulunmaktadır.
Kampanya, operasyonun hala devam ettiğini bildiren Zscaler'ın tehdit araştırmacıları tarafından keşfedildi ve kimlik avı aktörleri neredeyse her gün yeni kimlik avı alanları kaydediyor.
Haziran 2022'den itibaren Zscaler analistleri, belirli sektörlere ve Microsoft e -posta hizmetlerinin kullanıcılarına karşı sofistike kimlik avı girişimlerinde bir artış fark etti.
Kampanyada kullanılan yeni kayıtlı alanlardan bazıları, aşağıdaki tabloda gösterildiği gibi, Amerika Birleşik Devletleri'ndeki meşru federal kredi birliklerinin yazım hatası versiyonlarıdır.
Özellikle, birçok kimlik avı e -postası, tehdit aktörlerinin daha önce tehlikeye attığı bu kuruluşlarda çalışan yöneticilerin hesaplarından kaynaklandı.
Bir başka kimlik avı sitesi seti, e -posta kampanyalarının bir parçası olarak şifre sıfırlama lures kullanmaya odaklanan alan adları kullandı:
Tehdit oyuncusu, mesaj gövdesine gömülü düğmeler olarak veya kimlik avı sayfalarına yönlendirmeyi tetikleyen ekli HTML dosyaları olarak e -postalara bağlantıları ekledi.
Yeniden yönlendirme, e -posta ve internet güvenlik araçlarından kaçmaya yardımcı olmak için meşru web kaynakları aracılığıyla gerçekleşir ve tehdit aktörleri Google Reklamları, Snapchat ve DoubleClick'te açık yönlendirmeler tercih eder. Ne yazık ki, bazı platformlar açık yönlendirmeleri bir güvenlik açığını düşünmez ve bunları tehdit aktörleri tarafından kötüye kullanıma sunar.
CodeSandbox ve Glitch, bilgisayar korsanlarının çok fazla çaba harcamadan yeni yeniden yönlendirme yolları oluşturmalarına yardımcı olmak için bu kampanyada da kapsamlı bir şekilde istismar edilmektedir.
"Yeniden yönlendirme kodunu barındırmanın yaygın bir yöntemi, web kodu düzenleme/barındırma hizmetlerinden yararlanmaktır: Saldırgan, web geliştiricileri tarafından meşru kullanım için amaçlanan bu siteleri hızla yeni kod sayfaları oluşturmak, onlara bir yönlendirme kodunu yapıştırabilir. En son kimlik avı sitesinin URL'si ve barındırılan yönlendirme kodunun bağlantısını toplu olarak kurbanlara göndermeye devam edin. " - zscaler
Mağdur kimlik avı sayfasına ulaştığında, hedefin sanal bir makinede veya normal bir cihazda olup olmadığını değerlendiren JavaScript tarafından parmak izi. Bu, kimlik avı sayfasının güvenlik yazılımı ve analiz için sanal makineler kullanan araştırmacılar yerine yalnızca geçerli hedeflere açıklanmasını sağlar.
Kurumsal, çok faktörlü kimlik doğrulamasını hızla benimseyerek, MFA etkinleştirilirse kullanıcıların kimlik bilgilerini çalmak bir hesaba erişmek için yeterli değildir. MFA'yı atlamak için, tehdit aktörleri Evilginx2, Muraena ve Modilshka gibi araçlara yöneliyor.
Bu ters vekilleri kullanarak, rakipler kurban ve e -posta sağlayıcısının sunucusu arasında ortada oturabilirler, bu nedenle neden "AITM" (ortada düşman) olarak adlandırılırlar.
E -posta sunucusu, oturum açma işlemi sırasında MFA kodunu ve daha sonra kimlik avı kutusuna OTP'ye giren kurban için talep eden kimlik avı röleleri ister. Veriler, tehdit aktörünün çalınan hesabına giriş yapmasına izin vererek e -posta hizmetine iletilir.
Bununla birlikte, bu borsanın ortasında oturan kimlik avı proxy, ortaya çıkan kimlik doğrulama çerezlerini çalabilir ve tehdit aktörlerinin belirli bir hesap için MFA'yı giriş yapmak ve atlamak için bu çalıntı çerezleri kullanmasına izin verir.
Bu kampanyayı öne çıkaran şey, "güzel çorba" HTML ve XML ayrıştırma aracını kullanmanın özelliğine sahip özel bir proxy tabanlı kimlik avı kitinin kullanılmasıdır.
Bu araç, kitin kurumsal girişlerden çekilen meşru giriş sayfalarını kolayca değiştirmesini ve kendi kimlik avı öğelerini eklemesini sağlar. Araç ayrıca işlemdeki HTML'yi güzelleştirmenin ek avantajına sahiptir.
Ancak Zscaler, Microsoft sunucusuna gönderilen isteklere bazı URL sızıntıları bulduğundan, satıcının tarafında algılamayı mümkün kılabilir.
Zscaler, saldırganın dolaşım sonrası faaliyetlerini izlemesine ve izlemesine izin vermek için bir test örneği oluşturdu ve bilgisayar korsanlarının uzlaşmadan sekiz dakika sonra hesaplarına giriş yaptığını buldu.
Hesaba giriş yapmak ve hesabı değerlendirmenin ve bazı mesajların okunmasının yanı sıra, tehdit oyuncusu ek işlemler yapmadı.
Microsoft: Kimlik avı, 10.000 orgs'a karşı saldırılarda MFA'yı atladı
LinkedIn, kimlik avı saldırılarında en çok kişileştirilmiş marka olmaya devam ediyor
Clever Kimlik Avı Yöntemi, Microsoft WebView2 uygulamalarını kullanarak MFA'yı atlar
Kaçan Kimlik Yardımı Ters Tünelleri ve URL Kısaltma Hizmetlerini Karıştırır
Microsoft Outlook, Uber makbuzu e -postalarını okurken çöküyor
Kaynak: Bleeping Computer