Кампания олицетворяет программное обеспечение службы технической поддержки, чтобы попытаться украсть корпоративные учетные данные для облачных вычислений.
Новая фишинговая кампания, олицетворяющая программное обеспечение службы технической поддержки для попыток кражи учетных данных из корпоративных «облачных» служб, включая Microsoft Azure, Microsoft Dynamics и IBM Cloud, была замечена в дикой природе.
Как сообщает BleepingComputer, новостное агентство недавно проанализировало фишинговые сообщения этой кампании, чтобы выяснить, что они используют формулировки, схожие с настоящими услугами службы технической поддержки ИТ, притворяясь, что они находятся на сайте под названием «servicedesk.com».
Сообщения, используемые в кампании, имитируют уведомление о «карантине», которое рассылают продукты безопасности и спам-фильтры, и просят получателя «освободить» сообщения, застрявшие в очереди. В то время как адрес, указанный в письме, делает его видимым, сообщение приходит с «[email protected]», злоумышленники на самом деле посылали свои фишинговые сообщения через «cn.trackhawk.pro», который служил посредническим доменом.
В попытке легче обойти почтовые фильтры, домен службы поддержки используется как в заголовках исходящих, так и получаемых фишинговых сообщений кампании. Это означает, что злоумышленники либо скомпрометировали почтовые серверы servicedesk.com, либо ввели текст «Received: form servicedesk.com» в заголовок, чтобы он выглядел более достоверным.
Корпоративные облачные службы
Злоумышленники, стоящие за этой новой фишинговой кампанией, использовали IBM Cloud Hosting, Microsoft Azure и Microsoft Dynamics для размещения своих целевых страниц, чтобы сделать их более легитимными. Кроме того, домены, размещенные на Azure или IBM Cloud, также получают бесплатные SSL-сертификаты, содержащие названия этих компаний, что также помогает повысить легитимность кампании.
После открытия одного из этих фишинговых электронных писем пользователь увидит две кнопки с пометками «RELEASE MESSAGES» и «CLEAN-UP CLOUD». Когда пользователь нажимает на одну из этих кнопок, он попадает на легитимный URL Microsoft Dynamics 365. Затем этот URL перенаправляет их на IBM Cloud домен, который используется для размещения фишинговой целевой страницы.
Если пользователь введет слабый пароль, целевая страница выдаст ему ошибку «неправильный пароль!!!». Однако, ввод длинного и сложного пароля перенаправляет пользователя на другую поддельную страницу, подтверждающую обновление настроек хоста на хостинговом домене Azure, windows.net. Эта вредоносная страница затем перенаправляет пользователя на сайт под названием «axsharma.com».
Эта новая фишинговая кампания особенно опасна, поскольку как только пользователь отказывается от своих учетных данных в корпоративном облаке, злоумышленник может получить доступ к корпоративной сети своей организации.
