Σε εξέλιξη βρίσκεται μία phishing εκστρατεία, η οποία εμφανίζεται ότι παρέχει αναφορές λήξης κωδικού πρόσβασης για το Office 365, καταφέρνοντας να παραβιάσει μέχρι στιγμής δεκάδες λογαριασμούς email C-Suite (στελέχη εταιρειών), σύμφωνα με προειδοποίηση που εξέδωσε η Trend Micro. Στοχεύοντας οργανισμούς διαφόρων κλάδων – όπως η χρηματοδότηση, η πολιτική, η μεταποίηση, τα ακίνητα και η τεχνολογία – η εκστρατεία απαριθμεί θύματα στην Ιαπωνία, τις ΗΠΑ, το Ηνωμένο Βασίλειο, τον Καναδά, την Αυστραλία και πολλές ευρωπαϊκές χώρες.
Μέχρι σήμερα, έχουν εντοπιστεί πάνω από 300 μοναδικές παραβιασμένες διευθύνσεις URL, μαζί με 70 διευθύνσεις email από οκτώ sites. Οι phishers κατάφεραν να παραβιάσουν 40 νόμιμες διευθύνσεις email που ανήκουν σε στελέχη εταιρειών – όπως CEOs, διευθυντές, ιδρυτές, ιδιοκτήτες και υπαλλήλους.
Οι επιτιθέμενοι χρησιμοποιούν ψεύτικες αναφορές λήξης κωδικού πρόσβασης του Office 365, ζητώντας από το υποψήφιο θύμα να κάνει κλικ σε έναν ενσωματωμένο σύνδεσμο, που θα του επιτρέψει να συνεχίσει να χρησιμοποιεί τον ίδιο κωδικό πρόσβασης. Ωστόσο, όταν το θύμα κάνει κλικ στην επιλογή “Διατήρηση κωδικού πρόσβασης”, μεταφέρεται σε μία phishing σελίδα.
Οι χάκερς χρησιμοποιούν, στη συνέχεια, την παραβιασμένη υποδομή και τα κλεμμένα credentials για τη φιλοξενία phishing σελίδων, καθώς και για τη στόχευση περισσότερων θυμάτων. Επιπλέον, οι χάκερς χρησιμοποιούν ένα phishing κιτ, το οποίο αναλύθηκε για πρώτη φορά πέρυσι, όταν χρησιμοποιήθηκε σε παρόμοιες επιθέσεις με fake Microsoft login pages. Το κιτ είναι διαθέσιμο σε υπόγειες αγορές, επιτρέποντας έτσι στους κυβερνοεγκληματίες να έχουν πρόσβαση σε κλεμμένα credentials.
Η Trend Micro ανακάλυψε επίσης ότι οι χάκερς διαφημίζουν κλεμμένα credentials για λογαριασμούς Office 365 CEOs, διευθυντών χρηματοοικονομικών υπηρεσιών (CFOs) και υπαλλήλων οικονομικών τμημάτων, μεταξύ άλλων. Ο πάροχος anti-malware επεσήμανε ακόμη ότι πρόκειται για δημοσιεύσεις που εμφανίστηκαν σε πολυάριθμα αγγλικά και ρωσόφωνα φόρουμ, συμπεριλαμβανομένου ενός υπόγειου φόρουμ που φαίνεται να ταιριάζει με τη διαφήμιση ενός άλλου χρήστη. Συγκεκριμένα, όλες οι δημοσιεύσεις στα ρωσόφωνα φόρουμ έγιναν στα αγγλικά και χρησιμοποιούν πρόσφατα εγγεγραμμένους λογαριασμούς.
Τα περισσότερα από τα phishing emails σε αυτήν την εκστρατεία στάλθηκαν σε στελέχη εταιρειών με τη χρήση VPS από την FireVPS, μια εταιρεία που παρέχει στους πελάτες διάφορα προγράμματα πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) Windows. Όπως αναφέρει το Security Affairs, η Trend Micro προειδοποίησε την εταιρεία για κατάχρηση της υπηρεσίας της στην phishing εκστρατεία, ωστόσο δεν έχει λάβει ακόμα κάποια απόκριση.
Το phishing κιτ, το οποίο φαίνεται να είναι η εξέλιξη παρόμοιων εργαλείων, περιλαμβάνει επίσης μια εκτενή λίστα εύρους διευθύνσεων IP και ονομάτων domain, με στόχο τον αποκλεισμό της πρόσβασης σε εταιρείες ασφαλείας και μεγάλους παρόχους cloud, πιθανότατα σε μια προσπάθεια να αποφύγει τον εντοπισμό. Οι προγραμματιστές του κιτ διαφημίζουν ενεργά τη δημιουργία σε social media sites και ασχολούνται με την πώληση κλεμμένων credentials. Η Trend Micro μπόρεσε τελικά να συνδέσει την επιχειρηματική σελίδα στο Facebook του προγραμματιστή με την προσωπική σελίδα και έχει ήδη παράσχει στις αρχές λεπτομέρειες σχετικά με το ζήτημα.
Η Trend Micro συνέδεσε επίσης sites που καταχράστηκαν οι κυβερνοεγκληματίες στην εν λόγω εκστρατεία με άλλες phishing επιθέσεις, συμπεριλαμβανομένου ενός site που στοχεύει αποκλειστικά τους διευθύνοντες συμβούλους, τους προέδρους και τους ιδρυτές εταιρειών στις ΗΠΑ. Μια άλλη εκστρατεία στοχεύει διευθυντές και άλλα στελέχη στον Καναδά, το Ισραήλ, την Ουγγαρία, τις Κάτω Χώρες, το Ηνωμένο Βασίλειο και τις ΗΠΑ.
Οι διευθύνσεις email των CEOs στις ΗΠΑ φαίνεται να είναι ο κύριος στόχος αυτής της εκστρατείας. Τέτοια email επιτρέπουν στους εισβολείς να διεξάγουν περαιτέρω phishing, να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και να διεξάγουν BEC και social engineering επιθέσεις.
