H Microsoft έχει προειδοποιήσει τους χρήστες σχετικά με μια μεγάλης κλίμακας καμπάνια ηλεκτρονικού ψαρέματος που στόχευε περισσότερους από 10.000 οργανισμούς για την εκτέλεση επακόλουθων επαγγελματικών μηνυμάτων ηλεκτρονικού ταχυδρομείου (BEC).
Στο πλαίσιο της καμπάνιας, οι εισβολείς χρησιμοποιούν ιστότοπους ηλεκτρονικού ψαρέματος αντιπάλου (AiTM) για να κλέψουν διαπιστευτήρια και παραβίαζαν τις περιόδους σύνδεσης για να παρακάμψουν τον έλεγχο ταυτότητας ακόμη και με ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Το AiTM είναι μια τεχνική ηλεκτρονικού “ψαρέματος” κατά την οποία οι εισβολείς αναπτύσσουν έναν διακομιστή μεσολάβησης μεταξύ του χρήστη και του ιστότοπου στον οποίο προσπαθούν να συνδεθούν, για να υποκλέψουν τα διαπιστευτήρια του χρήστη και το cookie περιόδου λειτουργίας του, το οποίο επιτρέπει στον χρήστη να παραμείνει πιστοποιημένος στον ιστότοπο.
Η σελίδα phishing χρησιμοποιεί δύο διαφορετικές περιόδους σύνδεσης TLS – μία με τον χρήστη και η άλλη με τον ιστότοπο στον οποίο ο χρήστης προσπαθεί να αποκτήσει πρόσβαση – για να υποκλέψει τη διαδικασία ελέγχου ταυτότητας και να εξαγάγει τις στοχευμένες ευαίσθητες πληροφορίες.
“Μόλις ο εισβολέας αποκτήσει το cookie περιόδου λειτουργίας, μπορεί να το εισάγει στο πρόγραμμα περιήγησής του για να παραλείψει τη διαδικασία ελέγχου ταυτότητας, ακόμη και αν το MFA του στόχου είναι ενεργοποιημένο”, σημειώνει η Microsoft.
Από τον Σεπτέμβριο του 2021, οι χρήστες του Office 365 σε περισσότερους από 10.000 οργανισμούς έχουν στοχοποιηθεί σε επιθέσεις που παραπλανούν τη σελίδα ελέγχου ταυτότητας του Office στο διαδίκτυο.
Σε μια επίθεση, ο παράγοντας απειλών στόχευσε πολλούς υπαλλήλους σε διαφορετικούς οργανισμούς με email που έφεραν συνημμένο αρχείο HTML και τα οποία ισχυρίζονταν ότι ο παραλήπτης είχε ένα φωνητικό μήνυμα.
Μόλις άνοιγε το αρχείο HTML, θα φορτωνόταν στο πρόγραμμα περιήγησης του χρήστη και θα εμφανιζόταν μια ψεύτικη γραμμή προόδου λήψης.
Αντίθετα, το θύμα ανακατευθύνθηκε σε έναν ιστότοπο ηλεκτρονικού ψαρέματος, όπου η διεύθυνση ηλεκτρονικού ταχυδρομείου του παραλήπτη συμπληρώθηκε αυτόματα στο πεδίο σύνδεσης, μια τεχνική που σκοπό έχει να ενισχύσει το δέλεαρ της κοινωνικής μηχανικής και να αποτρέψει την πρόσβαση στη σελίδα από λύσεις anti-phishing.
Ο διακομιστής ιστού διέθεσε μεσολάβηση στη σελίδα σύνδεσης του Azure Active Directory (Azure AD) του οργανισμού-στόχου, η οποία περιείχε επίσης το λογότυπο του οργανισμού όπου ήταν απαραίτητο.
«Μόλις ο στόχος εισήγαγε τα διαπιστευτήριά του και επαληθεύτηκε, ανακατευθύνθηκαν στη νόμιμη σελίδα του office.com. Ωστόσο, στο παρασκήνιο, ο εισβολέας αναχαίτισε τα εν λόγω διαπιστευτήρια και επαληθεύτηκε για λογαριασμό του χρήστη. Αυτό επέτρεψε στον εισβολέα να εκτελέσει επακόλουθες δραστηριότητες —σε αυτήν την περίπτωση, απάτη πληρωμών— μέσα από τον οργανισμό», εξηγεί η Microsoft.
Οι επακόλουθες δραστηριότητες απάτης πληρωμών ξεκινούσαν συνήθως περίπου πέντε λεπτά μετά την κλοπή διαπιστευτηρίων. Οι εισβολείς χρησιμοποίησαν το κλεμμένο cookie περιόδου λειτουργίας για να συνδεθούν στο Outlook στο διαδίκτυο (outlook.office.com).
Τις ημέρες που ακολούθησαν τον αρχικό συμβιβασμό, ο αντίπαλος θα είχε πρόσβαση σε μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με τα οικονομικά και τα συνημμένα αρχεία και θα αναζητούσε νήματα ηλεκτρονικού ταχυδρομείου που θα του επέτρεπαν να διαπράξει απάτη BEC. Διέγραψαν επίσης το αρχικό email ηλεκτρονικού ψαρέματος από τα εισερχόμενα του θύματος.
«Αυτές οι δραστηριότητες υποδηλώνουν ότι ο εισβολέας προσπάθησε να διαπράξει χειροκίνητη απάτη πληρωμών. Το έκαναν επίσης στο cloud—χρησιμοποίησαν το Outlook Web Access (OWA) σε ένα πρόγραμμα περιήγησης Chrome και πραγματοποίησαν τις παραπάνω δραστηριότητες ενώ χρησιμοποιούσαν το κλεμμένο cookie περιόδου λειτουργίας του παραβιασμένου λογαριασμού», λέει.
Αφού εντοπίσει ένα νήμα email σχετικό με τις δραστηριότητές του, ο παράγοντας απειλής θα δημιουργούσε έναν κανόνα για να στέλνονται μηνύματα από τον στόχο απάτης BEC στον φάκελο αρχειοθέτησης, για να αποτρέψει τον κάτοχο του γραμματοκιβωτίου από το να παρατηρήσει τη δόλια δραστηριότητα.
Στη συνέχεια, ο αντίπαλος απάντησε σε ένα συνεχιζόμενο νήμα σχετικά με τις πληρωμές και στη συνέχεια συνδεόταν κάθε λίγες ώρες, για να ελέγχει για απαντήσεις από τον παραλήπτη. Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι θα επικοινωνούσαν με το επιδιωκόμενο θύμα για μέρες.
«Σε μία περίπτωση, ο εισβολέας πραγματοποίησε πολλαπλές απόπειρες απάτης ταυτόχρονα από το ίδιο παραβιασμένο γραμματοκιβώτιο. Κάθε φορά που ο εισβολέας έβρισκε έναν νέο στόχο απάτης, ενημέρωσε τον κανόνα Εισερχομένων που δημιούργησαν για να συμπεριλάβει τους τομείς οργάνωσης αυτών των νέων στόχων», εξηγεί η Microsoft.
