Была обнаружена новая опасная фишинговая кампания, в которой используются скомпрометированные сайты SharePoint и документы OneNote, чтобы обмануть потенциальных жертв из банковского сектора и посетить их целевые страницы.
Киберпреступники, стоящие за кампанией, выбрали веб-платформу Microsoft для совместной работы SharePoint для запуска своих атак, поскольку используемые ею домены часто игнорируются безопасными почтовыми шлюзами, и это позволяет их фишинговым сообщениям фактически достигать почтовых ящиков пользователей.
После взлома учетной записи SharePoint злоумышленники используют эту учетную запись, чтобы отправить электронное письмо потенциальным жертвам, в котором они просят их просмотреть юридическое предложение оценщиков через URL-адрес, встроенный в сообщение. Эта новая фишинговая кампания была открыта исследователями из Cofense, которые объяснили, почему ее тактика настолько эффективна, в сообщении в блоге, сказав:
«SharePoint – это начальный механизм доставки второстепенного вредоносного URL-адреса, позволяющий субъекту угрозы обойти практически любую технологию периметра электронной почты».
Прячется на виду
URL-адрес в исходном сообщении отправляет пользователей на сайт SharePoint, контролируемый злоумышленниками, где хорошо сделанный поддельный документ OneNote, сделанный неразборчивым, просит цели загрузить полную версию, используя встроенную ссылку. Однако эта ссылка фактически отправляет сотрудников банка на фишинговую страницу злоумышленника.
На фишинговой странице цели видят веб-страницу, изображающую официальную страницу входа в OneDrive для бизнеса, с надписью над формой входа, которая гласит: «Этот документ защищен, пожалуйста, войдите, чтобы просматривать, редактировать или загружать. Выберите опцию ниже, чтобы продолжить ».
Отсюда пользователям предоставляется возможность войти в систему с учетной записью Office 365 или со своей учетной записью любого другого поставщика электронной почты. Таким образом, если пользователь не желает отказываться от своих учетных данных Office 365, злоумышленники все равно получат доступ к другой из своих учетных записей.
Когда жертва вводит свои учетные данные для входа, они автоматически собираются фишинговым набором BlackShop Tools, который используется в кампании и доступен для продажи в темной сети.
Чтобы не стать жертвой фишинг-атаки, рекомендуется не открывать электронные письма от неизвестных контактов и тщательно проверять URL-адреса посещаемых вами веб-сайтов.
Через Bleeping Computer
Add comment