Исследователи обнаружили две крупные фишинговые кампании, которые используют BLOB-объект Microsoft Azure для кражи данных из учетных записей Outlook и Microsoft.
Обе кампании используют реально выглядящие целевые страницы, которые используют SSL-сертификаты и домен windows.net, чтобы казаться аутентичными.
Первое фишинговое электронное письмо обращается к получателям с просьбой войти в свою учетную запись Office 365 для обновления информации.
В сообщениях электронной почты содержалось сообщение «Требуется действие: (адрес электронной почты) устарел — повторите проверку сейчас !!» в соответствующих полях.
В тот момент, когда пользователь нажимает на ссылку, указанную в письме, он попадает на целевую страницу, которая подделывает себя как Outlook Web App организации.
Эта целевая страница — то, что делает основную задачу кражи учетных данных пользователя.
Процесс привлечения пользователя начинается с сервиса рабочего места Facebook и заканчивается переходом пользователя на целевую страницу Microsoft.
Это может быть либо единый подход, либо смешанная кампания по привлечению жертв.
Учетная запись Microsoft, к которой привлекаются пользователи, выглядит вполне законно, поскольку использует ту же форму и ту же информацию, что и в этом отношении.
Обе целевые страницы используют хранилище Azure, чтобы они выглядели убедительными и, насколько это возможно, законными.
Все, что делает Microsoft Azure, — это добавляет легитимности целевым страницам, используемым фишинг-минусами для нацеливания на службы Microsoft.
URL-адреса хранилища BLOB-объектов Azure используют домен windows.net, что делает их вполне законными.
Одна из фишинговых ссылок, которая больше не используется, имела URL-адрес https://1drive6e1lj8tcmteh5m.z6.web.core.windows.net/, и доменное имя, похоже, помогло.
Кроме того, каждый URL-адрес хранилища BLOB-объектов Azure использует подстановочный SSL-сертификат Microsoft, в результате чего каждая целевая страница получает «символ блокировки».
Это будет свидетельствовать о наличии сертификата Microsoft каждый раз, когда пользователь будет пытаться щелкнуть по сертификату, чтобы проверить, кто подписан, что делает весь обман более правдоподобным.
Чтобы избежать такой фишинг-атаки, необходимо иметь в виду, что в качестве исходных доменных имен исходные формы входа в систему от Outlook и Microsoft должны иметь адрес outlook.com, live.com и Microsoft.com.
