Bedragare försöker stjäla Microsoft 365-inloggningsuppgifterna för personer som arbetar inom den amerikanska militären, säkerhetsprogramvara, tillverkningsleverantörer, sjukvårds- och läkemedelsföretag, med en utarbetad nätfiskekampanj som använder falska röstmeddelanden och falska Microsoft-inloggningssidor.
Anställda på dessa företag fick falska e-postmeddelanden som hävdade att någon från deras organisation skickade ett röstmeddelande till dem.
Själva e-postmeddelandet verkar komma från företaget, men molnsäkerhetsföretaget ZScaler upptäckte att den verkliga avsändaren faktiskt missbrukar en japansk e-posttjänst för att dölja sin adress och sanna identitet (öppnas i en ny flik).
Om offret tog betet och klickade på HTML-e-postbilagan, skulle de först omdirigeras till en CAPTCHA-kontroll, vars syfte är dubbelt: att undvika verktyg för att förhindra nätfiske och att övertyga offret om dess legitimitet.
legitimationsstöld
När offret passerat captcha omdirigeras de (öppnas i en ny flik) till den faktiska nätfiskewebbplatsen, en målsida som ser identisk ut med inloggningssidan för Microsoft 365. Det är här, om offren anger sina autentiseringsuppgifter, kommer den att dela dem med angriparna.
Bedragare är mycket efterfrågade på Microsoft 365-konton eftersom de erbjuder en skattkammare av värdefull information som kan leda till förödande attacker i andra steget. Brottslingar kan använda det för att distribuera skadlig programvara (öppnas i en ny flik) och ransomware, installera kryptominerare på kraftfulla servrar och till och med utföra mycket destruktiva attacker i leveranskedjan.
Solar Winds supply chain attack, som riktade sig mot statliga myndigheter, institutioner och flera ledande amerikanska teknikföretag, började med ett äventyrat Microsoft 365-konto.
I december 2020 upptäcktes en massiv cyberspionageinsats som kontaminerade mjukvaruförsörjningskedjan via en falsk SolarWinds-programuppdatering. Attacken, som var fästad på statligt sponsrade ryska hackare, påverkade nio federala myndigheter, förutom många privata företag.
Det har varit flera kongressutfrågningar om SolarWinds-hacket, och händelsen har även resulterat i sanktioner mot flera ryska cybersäkerhetsföretag. Ingen har dock kunnat fastställa den verkliga omfattningen av attacken, delvis för att det har varit ganska svårt att spåra angriparnas fotspår.
Via: BleepingComputer (öppnas i en ny flik)