По данным команды исследователей безопасности ThreatLabZ компании Zscaler, за последние три месяца не менее 2,5 тыс. подобных электронных писем были отправлены высокопоставленным сотрудникам банков и IT-сферы. Письма сначала перенаправляют получателей на поддельную страницу системы Google reCAPTCHA. Google reCAPTCHA — система защиты web-сайтов от спама и злоупотреблений, используя тест Тьюринга для различения людей и ботов.
После прохождения поддельного теста reCAPTCHA пользователи перенаправляются на фишинговую целевую страницу, где запрашиваются их учетные данные Office 365.
«Атака нацелена на старших руководителей бизнеса, таких как вице-президенты и директора, которые, вероятно, имеют более высокий уровень доступа к конфиденциальным данным компании. Цель кампаний — украсть учетные данные жертв и получить доступ к ценным активам фирм», — пояснили эксперты.
Фишинговые письма замаскированы под автоматические электронные письма от средств унифицированных коммуникаций жертв, в которых якобы присутствует вложение голосовой почты.
Страницы авторизации в сервис Microsoft также содержат различные логотипы компаний, в которых работают жертвы, например, разработчика программного обеспечения ScienceLogic или компании по аренде офисов BizSpace.
«После ввода учетных данных фишинговая кампания покажет фальшивое сообщение с надписью «Проверка прошла успешно». Затем пользователям показывают запись сообщения голосовой почты, которую они могут воспроизвести, что позволяет злоумышленникам избежать подозрений», — отметили специалисты.
Исследователи обнаружили множество фишинговых страниц, связанных с кампанией, которые размещались с использованием общих доменов верхнего уровня, таких как .xyz, .club и .online. Эти домены верхнего уровня обычно используются киберпреступниками для спама и фишинговых атак.