22/01/21
Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google.
В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.
Как обнаружили специалисты Check Point и Otorio, изучившие данную фишинговую кампанию, хакеры по ошибке сделали похищенные данные доступными через открытый интернет. По словам экспертов, злоумышленники сохранили похищенную информацию на специально зарегистрированных для этого доменах, но разместили данные в публично доступном файле, и поисковая система Google его проиндексировала.
Исследователи также обнаружили, что злоумышленники взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Как пояснили эксперты, киберпреступники предпочитают использовать взломанные серверы вместо собственной инфраструктуры из-за хорошей репутации скомпрометированных сайтов.
Изучив информацию примерно из 500 записей, исследователи смогли определить, что жертвами фишинговой кампании чаще всего становились компании в сфере строительства (16,7%), энергетики (10,7%) и информационных технологий были (6,0%).
С целью заманить жертв на мошеннические страницы, злоумышленники использовали в фишинговых письмах несколько тем. В поле «Тема» указывалось имя жертвы или название компании, а во вложении содержалось отсканированное уведомление в формате HTML.
После открытия вложения через web-браузер по умолчанию появлялось размытое изображение, поверх которого открывалась поддельная форма авторизации в Microsoft Office 365. «Этот документ защищен паролем. Пожалуйста, введите пароль», - сообщалось в форме авторизации. Поле имени пользователя уже было заполнено адресом электронной почты жертвы, и у жертвы не возникало никаких подозрений.
Запущенный в фоновом режиме JavaScript-код проверял подлинность введенных жертвой учетных данных, отправлял их на подконтрольный злоумышленникам сервер и для отвлечения внимания переадресовывал жертву на настоящую страницу авторизации в Microsoft Office 365.
Для обхода обнаружения хакеры рассылали фишинговые письма из скомпрометированных почтовых ящиков. К примеру, в одной из атак злоумышленники выдавали себя за немецкого хостинг-провайдера IONOS by 1&1.Хотя фишинговая кампания началась в августе 2020 года, исследователи также обнаружили фишинговые письма, датированные маем 2020 года.
