Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και να κλέβει credentials που ανήκουν σε περισσότερους από χίλιους εταιρικούς υπαλλήλους.
Η κυβερνοεπίθεση λέγεται ότι πραγματοποιήθηκε τον Αύγουστο του περασμένου έτους, με κύριο στόχο εταιρείες ενέργειας και κατασκευών, ανέφεραν σήμερα οι ερευνητές από την Check Point Research σε μια κοινή ανάλυση που πραγματοποιήθηκε με την εταιρεία βιομηχανικής ασφάλειας στον κυβερνοχώρο Otorio.
Αν και οι καμπάνιες phishing που έχουν σχεδιαστεί για να κλέβουν credentials είναι από τους πιο διαδεδομένους λόγους για παραβιάσεις δεδομένων, αυτό που κάνει αυτή τη λειτουργία να ξεχωρίζει είναι μια λειτουργική αποτυχία που οδήγησε τους hackers στο να εκθέσουν ακούσια τα credentials που είχαν κλέψει στο διαδίκτυο.
“Με μια απλή αναζήτηση στο Google, ο καθένας θα μπορούσε να βρει τον κωδικό πρόσβασης ενός παραβιασμένου email”, ανέφεραν οι ερευνητές.
Η επίθεση ξεκίνησε με τα phishing που υποτίθεται ότι ήταν ειδοποιήσεις σάρωσης Xerox (ή Xeros) που περιείχαν ένα συνημμένο αρχείο HTML, το οποίο όταν άνοιγε, παρότρυνε τους χρήστες να εισάγουν τα password τους για το Office 365 σε μια ψεύτικη σελίδα σύνδεσης. Τα password στην συνέχεια γίνονταν extract και στέλνονταν σε έναν απομακρυσμένο server σε ένα text file.
Οι ερευνητές σημείωσαν ότι ο κώδικας JavaScript για το exfiltrating των credentials διορθωνόταν συνεχώς και τελειοποιήθηκε μέχρι το σημείο να αποφύγει τα περισσότερα antivirus και να δημιουργήσει μια «ρεαλιστική» εμπειρία χρήστη, ώστε να εξαπατήσει τα θύματα να παρέχουν τα στοιχεία σύνδεσής τους.
Για το σκοπό αυτό, η εκστρατεία βασίστηκε σε ένα συνδυασμό εξειδικευμένων υποδομών, καθώς και σε παραβιασμένους servers WordPress που χρησιμοποιήθηκαν από τους επιτιθέμενους για να αποθηκεύσουν τα credentials.
Το ότι τα κλεμμένα credentials αποθηκεύτηκαν σε συγκεκριμένα text files σε αυτούς τους servers σημαίνει επίσης ότι οι μηχανές αναζήτησης όπως το Google μπορούν να καταχωρήσουν αυτές τις σελίδες και να τις κάνουν προσβάσιμες σε οποιονδήποτε κακόβουλο αναζητά κλεμμένους κωδικούς πρόσβασης με μια εύκολη αναζήτηση.
Επιπλέον, αναλύοντας τα διαφορετικά email headers που χρησιμοποιήθηκαν σε αυτήν την καμπάνια, οι ερευνητές κατέληξαν στο συμπέρασμα ότι τα email στάλθηκαν από server Linux που φιλοξενήθηκε στην πλατφόρμα Microsoft Azure.
Για τον μετριασμό αυτών των απειλών, συνιστάται στους χρήστες να προσέχουν τα email που λαμβάνουν από άγνωστους αποστολείς και να μην κάνουν κλικ σε ύποπτους συνδέσμους.
Πηγή πληροφοριών: thehackernews.com
