Skuespillere fornyer phishing-kampagnemateriale for at ofre flere offentlige entreprenører med Microsoft 365

En gruppe ondsindede aktører har øget deres phishing-kampagner for at narre store virksomheder (især dem i energi-, professionelle service- og byggesektoren) til at indsende deres Microsoft Office 365 kontooplysninger. Ifølge en rapport fra phishing-detektions- og responsløsningsfirmaet Cofense, kampagneoperatørerne foretog forbedringer i processen og designet af deres lokkeelementer og forklæder sig nu som andre amerikanske regeringsorganer, såsom Department of Transportation, Commerce and Labor.

"Trusselsaktører kører en række kampagner, der spoofer adskillige afdelinger af den amerikanske regering," sagde Cofense. "E-mails hævder at anmode om bud på statslige projekter, men leder ofre til legitimationsphishing-sider i stedet for. Disse kampagner har været i gang siden mindst midten af ​​2019 og blev først dækket i vores Flash Alert i juli 2019. Disse avancerede kampagner er veludformet, er blevet set i miljøer beskyttet af sikre e-mail-gateways (SEG'er), er meget overbevisende og fremstår at blive målrettet. De har udviklet sig over tid ved at forbedre e-mail-indholdet, PDF-indholdet og udseendet og adfærden af ​​phishing-siderne med legitimationsoplysninger."

Cofense viste en række skærmbilleder, der sammenlignede de tidligere og de nuværende materialer, der blev brugt af angriberne. De første til at få disse forbedringer er e-mails og PDF'er, som nu bliver tilpasset til at fremstå mere autentiske. "Tidlige e-mails havde mere forenklede e-mail-tekster uden logoer og med relativt ligetil sprog," tilføjede Cofense. "De nyere e-mails gjorde brug af logoer, signaturblokke, konsekvent formatering og mere detaljerede instruktioner. Nylige e-mails indeholder også links til at få adgang til PDF'erne i stedet for at vedhæfte dem direkte."

På den anden side foretog trusselsaktørerne også ændringer på phishing-siden med legitimationsoplysninger, fra login-processen til design og temaer, for at forhindre mistanke om ofre. Webadresserne på siderne er også tilsigtet ændret til længere (f.eks. transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), så mål vil kun se .gov-delen i en mindre browser vinduer. Derudover indeholder kampagnen nu captcha-krav og andre instruktioner for at gøre processen mere troværdig.

Forfiningerne i sådanne kampagner gør det mere udfordrende for mål at skelne rigtige websteder og dokumenter fra falske, især nu hvor skuespillerne bruger opdateret information, der er kopieret fra originale kilder. Ikke desto mindre understregede Cofense, at der stadig er måder at forhindre, at man bliver ofre for disse handlinger. Bortset fra at se små detaljer (f.eks. forkert dato på sider og mistænkelige URL'er), skal alle modtagere altid være forsigtige med at klikke på links, ikke kun dem, der er indlejret i e-mails, men også dem på vedhæftede filer.