13/11/23
Компания Trend Micro обнаружила масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали электронные письма с ссылкой на файлообменник DRACOON.team. Об этом пишет Securtiylab.
Ссылка вела жертв к PDF-документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа Microsoft 365. Сервер действовал как обратный прокси, похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.
Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.
После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.
Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.
Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
