Новости Пользователи Microsoft 365 рискуют потерять аккаунт: не спасёт даже МФА

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Как файлообменник встал на сторону хакеров?


t98fip5i3epvvqyaqkds2l8hgs9dyn9t.jpg


Компания Trend Micro Для просмотра ссылки Войди или Зарегистрируйся масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали электронные письма с ссылкой на файлообменник Для просмотра ссылки Войди или Зарегистрируйся

Ссылка вела жертв к PDF -документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа Microsoft 365 . Сервер действовал как обратный прокси , похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.

Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.

После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.

Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.

Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
 
Источник новости
www.securitylab.ru

Похожие темы