Суд удовлетворил заявление Microsoft на контроль над вредоносными веб-доменами, используемыми в крупномасштабной кибератаке, которая предназначалась для жертв в 62 странах с поддельными электронными письмами, чтобы обмануть ничего не подозревающие предприятия.
По словам Тома Берта (Tom Burt), главы службы безопасности потребителей Microsoft, злоумышленники пытались получить доступ к почте и контактам жертв, чтоб отправлять от их лица компаниям, чтобы они выглядели так, будто они поступают из надежного источника. Конечной целью было получение конфиденциальной информации или перенаправление переводов.
Microfost заявляет, что первые операции были замечены еще в декабре, но злоумышленники используя пандемию вернулись и использовали ее в качестве новой приманки для вредоносных электронных писем. По их оценкам они отправляли примерно миллион писем каждую неделю.
В прошлом месяце компания тайно взыскала судебный иск, попросив федеральный суд США разрешить ему взять под контроль и закрыть домены злоумышленника, фактически прекратив операцию. Суд удовлетворил запрос Microsoft вскоре после этого, но под обязательствами о неразглашении данных, не позволяя злоумышленникам узнать о скором прекращении их работы дабы не спугнуть их.
Но задумка злоумышленников все же сработала, заставив жертв перевести доступ к их учетным записям электронной почты. В судебных документах описывается как использовались фишинговые электронные письма, которые были созданы так, будто они получены он работодателя или другого надежного источника.
После того как пользователь нажимал на фишинговое письмо открывалась страница авторизации Microsoft и когда жертва вводила свой логин и пароль их перенаправляли в вредоносное веб-приложение, которое контролировали злоумышленники. Если пользователь повелся на обман и отдал свои данные, то веб-приложение отключается и отправляет токены доступа к учетной записи злоумышленникам. Обычно токены нужны для входа в аккаунт без повторного ввода пароля, но в случае злоупотребления это предоставило им полный доступ к их почте.
Получив доступ к учетным записям злоумышленники имели полный доступ ко всем возможностям, чтобы отправлять поддельные сообщения, предназначенные для того, чтобы обманным путем заставить компании передавать конфиденциальную информацию или осуществлять мошенничество.
Когда домены злоумышленников, используемые для атак, уничтожили, Берт заявил, что что гражданское дело против злоумышленников позволило компании «заблаговременно отключить ключевые домены, которые являются частью вредоносной инфраструктуры преступников».
Microsoft уже не первый раз просит суд предоставить ей право собственности на вредоносные домены. В последние два года Microsoft установила контроль над доменами, принадлежащими хакерам при поддержке России и Ирана.