09/07/20
В нынешнем месяце компания Microsoft получила судебный ордер на получение контроля над шестью доменами, использовавшимися в фишинговых атаках на пользователей Office 365, в том числе с эксплуатацией темы COVID-19.
Согласно судебным документам, Microsoft нацелилась на киберпреступную группировку, «промышлявшую» фишингом и атакующую клиентов компании с декабря 2019 года. Злоумышленники рассылали электронные письма компаниям, использующим почтовые серверы и корпоративную инфраструктуру в облачном сервисе Office 365.
Фишинговые письма отправлялись от имени коллег по работе и доверенных партнеров по бизнесу. Вредоносная операция, о которой идет речь, отличалась от других тем, что злоумышленники не переадресовывали жертв на поддельные страницы авторизации Office 365, а использовали документы Office. При попытке открыть файл пользователи переадресовывались на страницу, требующую загрузить вредоносное поддельное приложение Office 365.
После того, как жертва установила приложение, злоумышленники получали полный доступ к ее учетной записи Office 365 (настройкам, файлам, содержимому электронной почты, спискам контактов, запискам и пр.). Другими словами, приложение позволяет киберпреступникам получать полный доступ к учетной записи без необходимости похищать пароль, лишь с помощью токенов OAuth2.
Microsoft подала гражданский иск 30 июня нынешнего года и указала в исковом заявлении шесть доменов, использовавшихся киберпреступниками для хостинга вредоносного приложения Office 365. Как считают в компании, за фишинговой операцией стоят два человека. Изначально они указывали в теме писем вопросы, касающиеся бизнеса, но быстро перешли на тему коронавируса.
