Исследователи безопасности поделились подробностями об активной фишинг- кампании, которая предназначена для кражи аутентификационной информации пользователей Microsoft 365 .
Гомер Пакаг из SpiderLabs Trustwave проанализировал сложную кампанию, в которой используется новый подход для целевой аудитории Microsoft 365.
«Эта фишинговая кампания была немного сложнее, чем обычно. Импровизируя вложение электронной почты в формате HTML, которое включает удаленный код JavaScript, расположенный на бесплатном сайте хостинга JavaScript, и обеспечивая уникальную кодировку кода, злоумышленники стремятся скрыться, чтобы избежать обнаружения ».
Мы рассмотрим, как наши читатели используют VPN, в следующем подробном отчете. Мы будем рады услышать ваши мысли в представленном ниже опросе. Это займет не более 60 секунд вашего времени.
Атака заключается в том, чтобы скрыть HTML-файл с запутанным именем файла, что делает его видимым для обычного зрителя как файл Excel .
Разделяй и властвуй
Пакаг говорит, что это электронное письмо лучше всего пытается выдать за законное деловое письмо с темой, в которой упоминается что-то о пересмотре цены. Однако в теле нет содержимого, кроме вложения. Расширение вложения делает его похожим на файл Excel (.xlsx) и искусно маскирует его настоящее расширение (.htm).
Вложение содержит фрагмент текста в кодировке URL, который указывает на два URL-адреса, которые оба указывают на yourjavascript.com , как сообщает Пакаг, уже использовавшийся в более ранней фишинг-кампании.
На этом сайте размещена пара файлов JavaScript, оба содержат большие фрагменты закодированного текста. Pacag декодировал текст и объединил выходные данные, чтобы получить 367 строк HTML-кода.
В коде HTML появляется уведомление в окне сообщения, уведомляющее пользователя о том, что он вышел из своей учетной записи Microsoft 365 и ему необходимо снова войти в систему, чтобы просмотреть файл.
Пользовательский интерфейс мошеннической HTML-страницы имитирует интерфейс входа в систему Microsoft 365 с логотипом. Пакаг отмечает, что мошенники очень ловко показывают размытое изображение счета-фактуры на заднем плане, чтобы обмануть зрителей, чтобы они вводили свои учетные данные Microsoft 365 для просмотра файла.
После фишинга учетные данные для входа отправляются злоумышленникам. Пакаг в заключение говорит, что URL-адрес все еще находится в сети, «вероятно, собирает учетные данные своих жертв».