Acteurs vernieuwen phishing-campagnemateriaal om meer overheidscontractanten het slachtoffer te maken met Microsoft 365

Een groep kwaadwillende actoren heeft hun phishing-campagnes opgevoerd om grote bedrijven (met name die in de energie-, professionele dienstverlening en bouwsector) voor de gek te houden door hun Microsoft Office 365 Accountgegevens. Volgens een rapport van het bedrijf voor phishing-detectie en responsoplossingen Cofence, hebben de campagne-exploitanten verbeteringen aangebracht in het proces en het ontwerp van hun kunstaaselementen en vermommen ze zichzelf nu als andere Amerikaanse overheidsinstanties, zoals de ministeries van Transport, Handel en Arbeid.

"Bedreigingsactoren voeren een reeks campagnes die verschillende afdelingen van de Amerikaanse regering voor de gek houden", zegt Cofense. “De e-mails beweren biedingen voor overheidsprojecten aan te vragen, maar leiden slachtoffers in plaats daarvan naar phishing-pagina’s met referenties. Deze campagnes zijn aan de gang sinds ten minste medio 2019 en werden voor het eerst behandeld in onze Flash Alert in juli 2019. Deze geavanceerde campagnes zijn goed gemaakt, zijn gezien in omgevingen die worden beschermd door beveiligde e-mailgateways (SEG's), zijn zeer overtuigend en lijken gericht zijn. Ze zijn in de loop van de tijd geëvolueerd door de e-mailinhoud, de PDF-inhoud en het uiterlijk en het gedrag van de phishing-pagina's met referenties te verbeteren.”

Cofense toonde een reeks screenshots waarin het eerdere en het huidige materiaal dat door de aanvallers werd gebruikt, werd vergeleken. De eerste die deze verbeteringen krijgen, zijn de e-mails en pdf's, die nu worden aangepast om er authentieker uit te zien. "Vroege e-mails hadden meer simplistische e-mailteksten zonder logo's en met relatief eenvoudige taal", voegde Cofense eraan toe. "De meer recente e-mails maakten gebruik van logo's, handtekeningblokken, consistente opmaak en meer gedetailleerde instructies. Recente e-mails bevatten ook links om toegang te krijgen tot de pdf's in plaats van ze rechtstreeks bij te voegen."

Aan de andere kant hebben de dreigingsactoren, om de vermoedens van slachtoffers te voorkomen, ook wijzigingen aangebracht in de phishing-pagina met referenties, van het inlogproces tot het ontwerp en de thema's. De URL's van de pagina's zijn ook met opzet gewijzigd in langere (bijv. transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), dus doelen zien alleen het .gov-gedeelte in een kleinere browser ramen. Bovendien bevat de campagne nu captcha-vereisten en andere instructies om het proces geloofwaardiger te maken.

De verfijningen in dergelijke campagnes maken het voor doelwitten een grotere uitdaging om echte websites en documenten te onderscheiden van vervalste documenten, vooral nu de actoren bijgewerkte informatie gebruiken die uit originele bronnen is gekopieerd. Desalniettemin benadrukte Cofense dat er nog steeds manieren zijn om te voorkomen dat ze het slachtoffer worden van deze daden. Afgezien van het opsporen van kleine details (bijv. verkeerde datum op pagina's en verdachte URL's), moeten alle ontvangers altijd voorzichtig zijn met het klikken op links, niet alleen op links die zijn ingesloten in e-mails, maar ook op bijlagen.