Un atac de phishing care vizează utilizatorii Microsoft folosește un fals sistem Google reCAPTCHA.
Utilizatorii Microsoft sunt vizați de e-mail-uri de phishing într-un atac continuu care urmărește să le fure credențialele Office 365. Atacatorii adaugă un aer de legitimitate campaniei, utilizând un sistem Google reCAPTCHA fals și pagini de destinație care includ siglele companiilor victimelor.
Potrivit cercetătorilor, în ultimele trei luni cel puțin 2.500 de astfel de e-mailuri au fost trimise fără succes angajaților de nivel de conducere din sectorul bancar și IT. E-mailurile duc mai întâi destinatarii la o pagină falsă a sistemului Google reCAPTCHA. Google reCAPTCHA este un serviciu care ajută la protejarea site-urilor web împotriva spamului și abuzului, utilizând un test Turing pentru a distinge oamenii și roboții (cerând unui utilizator să facă clic pe un hidrant dintr-o serie de imagini, de exemplu).
Odată ce victimele „trec” testul reCAPTCHA, acestea sunt apoi redirecționate către o pagină de destinație de phishing, care solicită credențialele lor Office 365.
„Atacul se remarcă prin obiectivul său, lideri de top ai companiilor precum vicepreședinte și director general care ar putea avea un grad mai mare de acces la datele sensibile ale companiei”, au declarat vineri cercetătorii de la echipa de cercetare a securității ThreatLabZ a Zscaler. „Scopul acestor campanii este de a fura credențialele de conectare ale acestor victime pentru a permite persoanelor rău intenționate accesul la active valoroase ale companiei.”
E-mailuri false de phishing: atașamente de mesagerie vocală
E-mailurile de phishing se pretind a fi e-mailuri automate de la instrumentele de comunicații unificate ale victimelor, care spun că au un atașament de mesagerie vocală. De exemplu, un e-mail le spune utilizatorilor că „(503) *** – 6719 v-a lăsat un mesaj de 35 de secunde pe 20 ianuarie”, împreună cu un atașament singur, intitulat „vmail-219.HTM”. Un altul le spune destinatarilor e-mailului „REVIEW SECURE DOCUMENT.”
Exemplu de e-mail de phishing. Credit: Zscaler
Când victimele dau clic pe atașament, apoi întâlnesc ecranul fals Google reCAPTCHA, care conține o casetă tipică reCAPTCHA – care include o casetă de selectare pe care utilizatorul trebuie să dea clic pe „I’m not a robot”, care declanșează apoi testul Turing.
După completarea falsului sistemreCAPTCHA, victimele sunt apoi direcționate către ceea ce pare a fi un ecran de conectare Microsoft. Paginile de autentificare conțin, de asemenea, logo-uri diferite ale companiilor la care lucrează victimele – cum ar fi una care conține un logo de la compania de software ScienceLogic și alta de la compania de închiriere de birouri BizSpace. Acest lucru arată că atacatorii și-au făcut temele și își personalizează paginile de destinație de phishing pentru a se potrivi cu profilul victimelor lor, pentru a face atacul să pară mai legitim.
Victimelor li se cere să introducă credențialele lor în sistem; după ce fac acest lucru, un mesaj le spune că validarea a fost „reușită” și că sunt redirecționați.
Pagina de destinație de phishing imită pagina de conectare a Microsoft. Credit: Zscaler
„După introducerea credențialelor de conectare, campania de phishing va afișa un mesaj fals care spune <<Validation successful>>”, au spus cercetătorii. „Utilizatorilor li se arată apoi o înregistrare a unui mesaj de mesagerie vocală pe care îl pot reda, permițând atacatorilor să evite suspiciunile.”
Cercetătorii au găsit o varietate de pagini de phishing asociate campaniei, care au fost găzduite folosind domenii TLD (top level domains) generice, cum ar fi .xyz, .club și .online. Aceste TLD-uri sunt de obicei utilizate de criminalii cibernetici în atacurile de spam și phishing. Acest lucru se datorează faptului că pot fi achiziționate cu mai puțin de 1 USD fiecare – un preț scăzut pentru a adăuga un nivel de credibilitate campaniilor de phishing.
Din ce în ce mai multe atacuri de phishing folosesc tactica Google reCAPTCHA
Credit: Zscaler
Atacatorii folosesc de ani buni sisteme reCAPTCHA false în atacurile lor. De exemplu, în 2019, o campanie de malware a vizat o bancă poloneză și utilizatorii săi cu e-mailuri care conțineau un link către un fișier PHP alterat, care în cele din urmă ducea la descărcarea malware-ului BankBot pe sistemele victimelor. Atacatorii au folosit un sistem fals Google reCAPTCHA pentru a părea mai realist.
Un alt atac de phishing din februarie pretins a fi trimis de la un serviciu de mesagerie vocală conținea un link pentru redarea mesajului vocal „Play Audi Date.wav”, redirecționând în cele din urmă victimele către un site rău intenționat cu un mesaj reCAPTCHA.
Ambele exemple de mai sus arată că sistemul reCAPTCHA continuă să fie utilizat în atacurile de phishing, deoarece tactica adaugă cu succes legitimitate atacului: „Campaniile de phishing similare care utilizează Google reCAPTCHA false au fost observate de câțiva ani, dar această campanie vizează directori din întreaga industrie verticală specifică au început în decembrie 2020”, au remarcat cercetătorii.
Utilizatorii Microsoft Office 365 s-au confruntat cu mai multe atacuri sofisticate de phishing și scam în ultimele luni. În octombrie, cercetătorii au avertizat cu privire la o campanie de phishing care pretinde a fi un mesaj automat de la Microsoft Teams. În realitate, atacul a urmărit să fure datele de conectare la Office 365 ale destinatarilor. Tot în octombrie, un atac de phishing ce avea ca scop obținerea credențialelor de Office 365 a vizat industria ospitalității, utilizând sisteme reCAPTCHA vizuale pentru a evita detectarea și a părea legitimă. Atacatorii de phishing au adoptat, de asemenea, noi tactici, cum ar fi Google Translate sau fonturi personalizate, pentru ca escrocheriile să pară mai legitime.
Sursa: Threatpost
