Przestępcy używają zaszyfrowanych załączników, by wyłudzać informacje i kraść poświadczenia do kont Microsoft 365

kapitanhack.pl 1 rok temu

Przestępcy używają zaszyfrowanych wiadomości o ograniczonych uprawnieniach (.rpmsg) dołączonych do e-mailów, które służą im do wyłudzania informacji i kradzieży poświadczeń do kont Microsoft 365.

Zaszyfrowane wiadomości e-mail jako załączniki to nowa metoda ataku używana przez hakerów w sieci, pozwalająca obejść rozwiązania do bezpieczeństwa w wielu firmach. Dzieje się tak, ponieważ zawartość phishingowa wiadomości, w tym linki URL, jest ukryta przed bramkami skanującymi pocztę e-mail. Do tego link URL w treści wiadomości wskazuje na usługę Microsoft Encryption, co dodatkowo utrudnia jego wykrycie.

Jeśli chodzi o samą kampanię phishingową, to jest ona „małoobszarowa, ukierunkowana i wykorzystuje zaufane usługi w chmurze do wysyłania wiadomości e-mail i hostowania treści (Microsoft i Adobe)” — informują badacze Trustwave, Phil Hay i Rodel Mendrez. „Pierwsze wiadomości e-mail są wysyłane z przejętych kont Microsoft 365 i wydają się kierowane na adresy odbiorców, których nadawca może być znajomy”.

Phishing z zaszyfrowanymi wiadomościami o ograniczonych uprawnieniach firmy Microsoft

Wiadomości e-mail służące do wyłudzania informacji są wysyłane ze zhakowanego konta Microsoft 365 do osób pracujących w dziale rozliczeń firmy odbiorcy.

Przykład takiego e-maila z zaszyfrowaną wiadomością o ograniczonych uprawnieniach można zobaczyć poniżej.

Źródło: Trustware

Wiadomości zawierają załącznik z rozszerzeniem „.rpmsg” (wiadomość o ograniczonych uprawnieniach) oraz przycisk „Przeczytaj wiadomość” z długim adresem URL prowadzącym do witryny office365.com w celu dalszego przeglądania wiadomości.

Źródło: Trustware

Aby zobaczyć wiadomość, ofiary są proszone o zalogowanie się przy użyciu konta e-mail usługi Microsoft 365 lub wpisanie jednorazowego kodu dostępu.

Zarówno adres nadawcy, jak i domena są ukryte w linku.

Adres nadawcy:

senderemailaddress=rmcbride@chambless-math.com

Domena:

chamblessmath.onmicrosoft.com

Po użyciu otrzymanego hasła ofiarom najpierw wyświetla się wiadomość z fałszywym motywem SharePoint. Następnie użytkownik proszony jest o kliknięcie na przycisk, aby kontynuować. Dalej zostaje on przekierowany do dokumentu, który wygląda, jakby był hostowany w programie SharePoint, ale w rzeczywistości jest hostowany w usłudze InDesign firmy Adobe.

Źródło: Trustware

Użytkownik ponownie proszony jest o kliknięcie przycisku w celu wyświetlenia dokumentu, po czym jest przenoszony do domeny, która wygląda jak ta od pierwotnego nadawcy (np. Talus Pay), z paskiem postępu.

Źródło: Trustware

W tle biblioteka FingerprintJS typu open source zbiera informacje o systemie i przeglądarce użytkownika, a na koniec ofierze wyświetlana jest sfałszowana strona logowania Microsoft 365 z prośbą o zalogowanie się przy użyciu swoich danych uwierzytelniających.

Źródło: Trustware

Jedyną wskazówką, iż coś może być nie tak, jest to, iż adres URL ma określony adres nadawcy (chambless-math.com) niezwiązany z adresem „od:” wiadomości e-mail. Łącze zostało prawdopodobnie wygenerowane z innego przejętego konta Microsoft.

Jak sobie radzić z problemem?

Ponieważ atak ten może być trudny do wykrycia przez rozwiązania do bezpieczeństwa, zalecamy, aby:

  1. Blokować, oflagowywać lub manualnie sprawdzać załączniki typu „.rpmsg”.
  2. Monitorować strumienie przychodzących wiadomości e-mail pod kątem wiadomości pochodzących z adresu MicrosoftOffice365@messaging.microsoft.com i zawierających wiersz tematu „Twój jednorazowy kod dostępu do wyświetlenia wiadomości”.
  3. Informować użytkowników o konsekwencjach odszyfrowywania lub odblokowywania treści z niechcianych wiadomości e-mail.
  4. Wdrożyć MFA lub lokowanie do poczty dzięki kluczy sprzętowych wspierających FIDO2.

O kampanii phishingowej, o tym, jak ją rozpoznać i co robić na wypadek otrzymania podejrzanej wiadomości e-mail, pisaliśmy w osobnej kampanii tutaj.

Idź do oryginalnego materiału