Aktorzy ulepszają materiały kampanii phishingowych, aby atakować więcej wykonawców rządowych dzięki platformie Microsoft 365

Grupa złośliwych podmiotów zintensyfikowała swoje kampanie phishingowe w celu oszukania wielkich firm (szczególnie z sektora energetycznego, usług profesjonalnych i budownictwa) do zgłaszania swoich Microsoft Office 365 Poświadczenia konta. Według raportu firmy zajmującej się wykrywaniem i reagowaniem na phishing kamuflaż, operatorzy kampanii dokonali ulepszeń w procesie i konstrukcji swoich elementów przynęty i teraz przebierają się za inne agencje rządowe USA, takie jak Departamenty Transportu, Handlu i Pracy.

„Aktorzy zajmujący się zagrożeniami prowadzą serię kampanii oszukujących kilka departamentów rządu Stanów Zjednoczonych” – powiedział Cofense. „E-maile twierdzą, że żądają ofert na projekty rządowe, ale zamiast tego prowadzą ofiary do stron phishingowych z danymi uwierzytelniającymi. Kampanie te trwają co najmniej od połowy 2019 r. i zostały po raz pierwszy omówione w naszym Flash Alert w lipcu 2019 r. Te zaawansowane kampanie są dobrze wykonane, zostały zaobserwowane w środowiskach chronionych przez bezpieczne bramy poczty e-mail (SEG), są bardzo przekonujące i wyglądają być celem. Z biegiem czasu ewoluowały, ulepszając zawartość wiadomości e-mail, zawartość plików PDF oraz wygląd i zachowanie stron phishingowych z danymi uwierzytelniającymi”.

Cofense pokazał serię zrzutów ekranu porównujących poprzednie i obecne materiały wykorzystywane przez atakujących. Pierwsze, które wprowadzają te ulepszenia, to e-maile i pliki PDF, które są teraz dostosowywane, aby wyglądały bardziej autentycznie. „Wczesne wiadomości e-mail miały bardziej uproszczoną treść bez logo i stosunkowo prosty język” – dodał Cofense. „W nowszych wiadomościach e-mail wykorzystano logo, bloki podpisów, spójne formatowanie i bardziej szczegółowe instrukcje. Ostatnie wiadomości e-mail zawierają również łącza do plików PDF, zamiast ich bezpośredniego załączania”.

Z drugiej strony, aby zapobiec podejrzeniu ofiar, cyberprzestępcy dokonali również zmian na stronie phishingowej z danymi uwierzytelniającymi, od procesu logowania po projekt i motywy. Adresy URL stron są również celowo zmieniane na dłuższe (np. transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), więc cele zobaczą tylko część .gov w mniejszej przeglądarce okna. Dodatkowo kampania zawiera teraz wymagania captcha i inne instrukcje, aby uczynić proces bardziej wiarygodnym.

Udoskonalenia w takich kampaniach sprawiają, że odróżnienie prawdziwych stron internetowych i dokumentów od sfałszowanych jest trudniejsze dla celów, zwłaszcza teraz, gdy aktorzy korzystają z aktualnych informacji skopiowanych z oryginalnych źródeł. Cofense podkreślił jednak, że wciąż istnieją sposoby, aby nie paść ofiarą tych czynów. Oprócz dostrzegania drobnych szczegółów (np. błędnej daty na stronach i podejrzanych adresów URL), wszyscy odbiorcy muszą zawsze ostrożnie klikać linki, nie tylko te zawarte w wiadomościach e-mail, ale także te w załącznikach.