Οι εισβολείς χρησιμοποιούν τώρα κρυπτογραφημένα συνημμένα RPMSG που αποστέλλονται μέσω παραβιασμένων λογαριασμών Microsoft 365 για να κλέψουν τα διαπιστευτήρια της Microsoft σε στοχευμένες επιθέσεις phishing που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό από πύλες ασφαλείας email.

Τα αρχεία RPMSG (γνωστά και ως αρχεία μηνυμάτων περιορισμένης άδειας) είναι κρυπτογραφημένα συνημμένα μηνυμάτων email που δημιουργούνται χρησιμοποιώντας τις Υπηρεσίες Διαχείρισης Δικαιωμάτων της Microsoft (RMS) και προσφέρουν ένα επιπλέον επίπεδο προστασίας σε ευαίσθητες πληροφορίες περιορίζοντας την πρόσβαση σε εξουσιοδοτημένους παραλήπτες.

Οι παραλήπτες που θέλουν να τα διαβάσουν πρέπει να πραγματοποιήσουν έλεγχο ταυτότητας χρησιμοποιώντας τον λογαριασμό τους Microsoft ή να αποκτήσουν έναν κωδικό πρόσβασης μίας χρήσης για την αποκρυπτογράφηση των περιεχομένων.

Oι απαιτήσεις ελέγχου ταυτότητας του RPMSG αξιοποιούνται τώρα για να εξαπατήσουν στόχους ώστε να παραδώσουν τα διαπιστευτήριά τους Microsoft χρησιμοποιώντας πλαστές φόρμες σύνδεσης.

“Ξεκινά με ένα email που προέρχεται από έναν παραβιασμένο λογαριασμό Microsoft 365, στην προκειμένη περίπτωση από την Talus Pay, μια εταιρεία επεξεργασίας πληρωμών.”είπε ο Trustwave.

“Οι παραλήπτες ήταν χρήστες στο τμήμα τιμολόγησης της εταιρείας παραλήπτη. Το μήνυμα δείχνει ένα κρυπτογραφημένο μήνυμα της Microsoft.”

Τα μηνύματα ηλεκτρονικού ταχυδρομείου των φορέων απειλών ζητούν από τους στόχους να κάνουν κλικ σε ένα κουμπί “Ανάγνωση του μηνύματος” για να αποκρυπτογραφήσουν και να ανοίξουν το προστατευμένο μήνυμα, ανακατευθύνοντάς τους σε μια ιστοσελίδα του Office 365 με αίτημα να συνδεθούν στον λογαριασμό τους Microsoft.

Μετά τον έλεγχο ταυτότητας με χρήση αυτής της νόμιμης υπηρεσίας της Microsoft, οι παραλήπτες μπορούν τελικά να δουν το email ηλεκτρονικού ψαρέματος των εισβολέων που θα τους στείλει σε ένα ψεύτικο έγγραφο του SharePoint που φιλοξενείται στην υπηρεσία InDesign της Adobe, αφού κάνουν κλικ στο κουμπί “Κάντε κλικ εδώ για Συνέχεια”.