Преступники маскируют письма под счета-фактуры и используют различную информацию о потенциальных жертвах.
Специалисты компании Microsoft сообщили о вредоносной кампании целенаправленного фишинга, жертвой которой стали многие пользователи Microsoft Office 365. По словам экспертов, многочисленные атаки начались с июля 2020 года.
В ходе текущей фишинговой кампании злоумышленники побуждают жертв передать свои учетные данные Office 365 с помощью вложений XLS.HTML. Для большей правдоподобности преступники маскируют письма под счета-фактуры и используют различную информацию о потенциальных жертвах, такую как адреса электронной почты и логотипы компаний.
«Основная цель кампании — похитить учетные данные пользователей и другую информацию, включая IP-адрес и местоположение жертвы, которые злоумышленники используют в качестве начальной точки входа для последующих попыток взлома», — пояснила команда специалистов Microsoft 365 Defender.
В ходе данной кампании злоумышленники пытаются замаскировать свои фишинговые электронные письма и обойти решения для защиты электронной почты с помощью механизмов многоуровневой обфускации. Вложения xls.HTML или xslx.HTML, прилагаемые к фишинговым сообщениям электронной почты, разделены на несколько сегментов, закодированных с использованием различных методов для обхода защитных решений электронной почты.
Сегменты включают адрес электронной почты жертвы, логотип организации пользователя, скрипт для загрузки изображения документа об истечении времени сеанса, и скрипт, предлагающий пользователю ввести свой пароль.
На протяжении всей кампании злоумышленники меняли механизмы кодирования с целью избежать обнаружения и использовали разные методы для каждого сегмента, переключаясь между HTML-кодом открытым текстом, кодировкой в Base64, ASCII и даже азбукой Морзе.
Если жертва запустит вредоносное вложение, оно отобразит поддельное диалоговое окно авторизации в Office 365 поверх размытого документа Microsoft Excel в web-браузере жертвы по умолчанию. В поле входа в систему, которое также содержит адреса электронной почты жертвы и логотип ее компании, пользователя просят повторно ввести свои пароли для доступа к документу, поскольку их сеанс входа в систему предположительно истек. После ввода пароля скрипт немедленно отобразит предупреждение о том, что отправленный пароль неверен, и отправит пароль и другие собранные данные пользователя злоумышленникам.