Οι ηθοποιοί ανανεώνουν το υλικό καμπάνιας phishing για να θύματα περισσότερους κρατικούς εργολάβους με το Microsoft 365

Μια ομάδα κακόβουλων παραγόντων έχει αναβαθμίσει τις εκστρατείες phishing της προκειμένου να ξεγελάσει τεράστιες εταιρείες (ιδιαίτερα εκείνες στους τομείς της ενέργειας, των επαγγελματικών υπηρεσιών και των κατασκευών) να υποβάλουν Microsoft Office 365 διαπιστευτήρια λογαριασμού. Σύμφωνα με μια αναφορά από την εταιρεία λύσεων εντοπισμού και απόκρισης phishing Φέρετρο, οι χειριστές της καμπάνιας έκαναν βελτιώσεις στη διαδικασία και το σχεδιασμό των στοιχείων δέλειάς τους και τώρα μεταμφιέζονται σε άλλες κρατικές υπηρεσίες των ΗΠΑ, όπως τα Υπουργεία Μεταφορών, Εμπορίου και Εργασίας.

«Οι πρωταγωνιστές των απειλών διεξάγουν μια σειρά από εκστρατείες πλαστογραφώντας διάφορα τμήματα της κυβέρνησης των Ηνωμένων Πολιτειών», είπε ο Cofense. «Τα μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονται ότι ζητούν προσφορές για κυβερνητικά έργα, αλλά οδηγούν τα θύματα σε σελίδες διαπιστευτηρίων phishing. Αυτές οι καμπάνιες βρίσκονται σε εξέλιξη τουλάχιστον από τα μέσα του 2019 και καλύφθηκαν για πρώτη φορά στο Flash Alert τον Ιούλιο του 2019. Αυτές οι προηγμένες καμπάνιες είναι καλοσχεδιασμένες, έχουν εμφανιστεί σε περιβάλλοντα που προστατεύονται από ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEG), είναι πολύ πειστικές και εμφανίζονται να στοχοποιηθούν. Έχουν εξελιχθεί με την πάροδο του χρόνου βελτιώνοντας τα περιεχόμενα email, τα περιεχόμενα PDF και την εμφάνιση και τη συμπεριφορά των σελίδων phishing διαπιστευτηρίων.»

Το Cofense έδειξε μια σειρά από στιγμιότυπα οθόνης που συγκρίνει το προηγούμενο και το παρόν υλικό που χρησιμοποιούσαν οι επιτιθέμενοι. Πρώτα που λαμβάνετε αυτές τις βελτιώσεις είναι τα email και τα PDF, τα οποία τώρα προσαρμόζονται για να φαίνονται πιο αυθεντικά. «Τα πρώτα email είχαν πιο απλοϊκά σώματα email χωρίς λογότυπα και με σχετικά απλή γλώσσα», πρόσθεσε ο Cofense. «Τα πιο πρόσφατα email χρησιμοποιούσαν λογότυπα, μπλοκ υπογραφών, συνεπή μορφοποίηση και πιο λεπτομερείς οδηγίες. Τα πρόσφατα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν επίσης συνδέσμους για πρόσβαση στα PDF αντί για απευθείας επισύναψή τους."

Από την άλλη πλευρά, για να αποτρέψουν τις υποψίες των θυμάτων, οι φορείς απειλών έκαναν επίσης αλλαγές στη σελίδα ηλεκτρονικού "ψαρέματος" διαπιστευτηρίων, από τη διαδικασία σύνδεσης έως το σχέδιο και τα θέματα. Οι διευθύνσεις URL των σελίδων αλλάζουν επίσης σκοπίμως σε μεγαλύτερες (π.χ. transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com, επομένως οι στόχοι θα βλέπουν το τμήμα .gov μόνο σε μικρότερο πρόγραμμα περιήγησης παράθυρα. Επιπλέον, η καμπάνια διαθέτει πλέον απαιτήσεις captcha και άλλες οδηγίες για να κάνει τη διαδικασία πιο πιστευτή.

Οι βελτιώσεις σε τέτοιες καμπάνιες κάνουν τη διάκριση πραγματικών ιστότοπων και εγγράφων από πλαστογραφημένα πιο δύσκολη για τους στόχους, ειδικά τώρα που οι ηθοποιοί χρησιμοποιούν ενημερωμένες πληροφορίες που έχουν αντιγραφεί από αρχικές πηγές. Παρόλα αυτά, η Cofense τόνισε ότι υπάρχουν ακόμα τρόποι για να αποτραπεί το να πέσουμε θύματα αυτών των πράξεων. Εκτός από τον εντοπισμό μικρών λεπτομερειών (π.χ. λανθασμένη ημερομηνία σε σελίδες και ύποπτες διευθύνσεις URL), όλοι οι παραλήπτες πρέπει πάντα να είναι προσεκτικοί όταν κάνουν κλικ σε συνδέσμους, όχι μόνο σε αυτούς που είναι ενσωματωμένοι στα μηνύματα ηλεκτρονικού ταχυδρομείου αλλά και σε αυτούς στα συνημμένα.