Было обнаружено несколько фишинговых кампаний на тему Microsoft, которые используют фальшивую Google reCAPTCHA. В них злоумышленники ищут учетные данные высокопоставленных сотрудников различных организаций. Согласно отчету Zscaler, фирма остановила более 2500 фишинговых писем, которые принадлежали этой кампании.
Способы совершения преступления.
Фишинговые кампании были активны с декабря 2020 года и в основном сосредоточены на старших сотрудниках, работающих в банковском секторе. Эти фишинговые атаки, скорее всего, являются частью единой скоординированной кампании.
Во-первых, злоумышленники отправляют фишинговые письма, нагруженные вредоносными вложениями. Эти электронные письма олицетворяют собой единую коммуникационную систему, используемую для оптимизации корпоративных коммуникаций.
Как только жертва нажмет или откроет прикрепленный HTML-файл, она будет перенаправлена на фишинговый домен .xyz, замаскированный под подлинную страницу Google reCAPTCHA, чтобы обмануть пользователей.
После того, как рекапча будет проверена, жертвы получают поддельную фишинговую страницу входа в систему Microsoft. Затем показывается поддельное сообщение проверки, чтобы добавить легитимности кампании.
Цикл атак этих фишинговых кампаний Microsoft размещается в общих доменах верхнего уровня (TLD). xyz, .club и .online и включает в себя несколько других фишинговых доменов, используемых в этих кампаниях.
Использование общих TLDs.
На протяжении всего периода действия различные ДВУ использовались для различных атакующих кампаний:
кампания .xyz TLD: В этой фишинговой кампании злоумышленники отправляют спам-письмо, которое, как представляется, пришло из единой системы связи и загружено HTML-файлом в качестве вложения, предположительно являющимся голосовой почтой.
кампания .club TLD: Она следует той же схеме атаки, что и фишинговая кампания .xyz TLD; однако она использует поддельную Google reCAPTCHA, мошеннический экран входа в систему Microsoft и заканчивается показом пользователю размещенного PDF-файла.
онлайн-кампания TLD: В этой фишинговой кампании злоумышленники отправляют пользователям PDF-файл с прикрепленной ссылкой на фишинговую кампанию вместе с директивой “ПРОСМОТРЕТЬ ЗАЩИЩЕННЫЙ ДОКУМЕНТ”.
Вывод:
Эти кампании атак, направленные на старших бизнес-лидеров, таких как вице-президенты и управляющие директора, указывают на то, что злоумышленники заинтересованы в конфиденциальных данных, требующих более высокого уровня доступа. Для защиты от таких угроз организациям рекомендуется ограничить доступ к таким учетным записям, а также внедрить двухфакторную аутентификацию.