Клиенты Microsoft снова стали жертвами фишинговой атаки

Аналитики угроз в Palo Alto Networks Unit 42 обнаружили новую фишинговую кампанию, в ходе которой злоумышленник использовал метод «Domain shadowing», выявив 12 197 фишинговых доменов в период с апреля по июнь 2022 года.

Из 12 197 доменов VirusTotal пометил только 200 доменов как вредоносные. 151 домен из них был связан с обнаруженной фишинговой кампанией.

По словам экспертов, техника Domain shadowing представляет собой большую угрозу для предприятия, и ее трудно обнаружить без использования алгоритмов автоматизированного машинного обучения, которые могут анализировать большие объемы журналов DNS.

В ходе кампании были скомпрометированы 16 доменов для создания 649 поддоменов, размещающих поддельные страницы входа или ссылки на фишинговые страницы. Злоумышленники нацелены на учетные данные Microsoft.

Вредоносные поддомены и взломанные домены

Поддомены, которые перенаправляют на фишинговые сайты, могут легко обходить средства безопасности электронной почты, поскольку они не содержат вредоносный контекст и имеют положительную репутацию.

Фишинговая страница входа

Один владелец домена осознал компрометацию. Однако, на домене уже было создано множество поддоменов, которые способствовали вредоносным операциям в инфраструктуре.

Уведомление на скомпрометированном сайте

Специалисты сказали, что ответственность за защиту от мошеннических поддоменов несут владельцы доменов, регистраторы и поставщики DNS услуг, но пользователи должны всегда проявлять осторожность при отправке данных.

Поддомен в известном домене может быть вредоносным, и пользователь должен дважды проверять все, прежде чем указывать учетные данные или другую конфиденциальную информацию.