Microsoft upozorava na kampanje cyber napada koje zloupotrebljavaju legitimne usluge hostinga datoteka kao što su SharePoint, OneDrive i Dropbox koji se široko koriste u poslovnim okruženjima kao taktika izbjegavanja odbrane.
Krajnji cilj kampanja je širok i raznolik, omogućavajući hakerima da kompromituju identitete i uređaje i izvode napade kompromitacije poslovne e-pošte (BEC), koji na kraju rezultuju finansijskom prevarom, eksfiltracijom podataka i bočnim kretanjem na druge krajnje tačke.
Oružavanje legitimnih internet usluga (LIS) je sve popularniji vektor rizika koji su protivnici usvojili kako bi se stopio sa legitimnim mrežnim prometom na način da često zaobilazi tradicionalne sigurnosne zaštite i komplikuje napore pripisivanja.
Takvi napadi često počinju s kompromitacijom korisnika u okviru pouzdanog dobavljača, iskorištavanjem pristupa malicioznim datotekama i korisnim učitavanjima na usluzi za hosting datoteka za naknadno dijeljenje s ciljnim entitetom.
„Datoteke koje se šalju putem phishing e-pošte konfigurisane su tako da budu dostupne samo naznačenom primaocu“, navodi se u saopštenju. “Ovo zahtijeva da primalac bude prijavljen na uslugu dijeljenja datoteka — bilo da se radi o Dropboxu, OneDriveu ili SharePointu — ili da se ponovo autentifikuje unošenjem svoje adrese e-pošte zajedno s jednokratnom lozinkom (OTP) primljenom putem usluge obavještenja .”
Štaviše, datoteke koje se dijele kao dio phishing napada postavljene su na način rada “samo za pregled”, čime se sprječava mogućnost preuzimanja i otkrivanja ugrađenih URL-ova unutar datoteke.
Primalac koji pokuša da pristupi deljenoj datoteci se tada traži da potvrdi svoj identitet tako što će uneti svoju adresu e-pošte i jednokratnu lozinku poslanu na njegov nalog e-pošte.
Kada se uspješno ovlasti, cilj dobija instrukcije da klikne na drugu vezu da vidi stvarni sadržaj. Međutim, to ih preusmjerava na phishing stranicu protivnik u sredini (AitM) koja krade njihovu lozinku i tokene za autentifikaciju u dva faktora (2FA).
Ovo ne samo da omogućava hakerima da preuzmu kontrolu nad računom, već ga takođe koriste za održavanje drugih prevara, uključujući BEC napade i finansijske prevare.
“Iako su ove kampanje generičke i oportunističke prirode, one uključuju sofisticirane tehnike za izvođenje socijalnog inženjeringa, izbjegavanje otkrivanja i širenje dosega hakera na druge račune i stanare”, rekao je Microsoft Threat Intelligence tim.
Razvoj dolazi nakon što je Sekoia detaljno predstavila novi AitM komplet za krađu identiteta pod nazivom Mamba 2FA koji se prodaje kao phishing-as-a-service (PhaaS) drugim hakerima za provođenje phishing kampanja koje propagiraju HTML privitke imitiraju stranice za prijavu na Microsoft 365.
Komplet, koji se nudi na bazi pretplate za 250 dolara mjesečno, podržava Microsoft Entra ID, AD FS, SSO provajdere trećih strana i korisničke račune. Mamba 2FA aktivno se koristi od novembra 2023. godine.
“Obrađuje provjere u dva koraka za MFA metode koje nisu otporne na phishing, kao što su jednokratni kodovi i obavještenja o aplikacijama”, rekla je francuska kompanija za cybersigurnost. „Ukradeni akreditivi i kolačići se odmah šalju napadaču putem Telegram bota.“
Izvor:The Hacker News