Actorii renovează materialele campaniei de phishing pentru a victima mai mulți contractori guvernamentali cu Microsoft 365

Un grup de actori rău intenționați și-a intensificat campaniile de phishing pentru a păcăli companiile uriașe (în special pe cele din sectorul energiei, al serviciilor profesionale și al construcțiilor) să-și depună Microsoft Office 365 acreditările contului. Potrivit unui raport al companiei de soluții de detectare și răspuns la phishing Cofense, operatorii campaniei au adus îmbunătățiri în procesul și designul elementelor lor de nalucă și acum se deghează în alte agenții guvernamentale din SUA, cum ar fi Departamentele de Transport, Comerț și Muncă.

„Actorii amenințărilor desfășoară o serie de campanii care falsifică mai multe departamente ale guvernului Statelor Unite”, a spus Cofense. „E-mailurile pretind că solicită oferte pentru proiecte guvernamentale, dar conduc victimele către pagini de phishing cu acreditări. Aceste campanii sunt în desfășurare de cel puțin la jumătatea anului 2019 și au fost acoperite pentru prima dată în Alerta noastră Flash în iulie 2019. Aceste campanii avansate sunt bine concepute, au fost văzute în medii protejate de gateway-uri de e-mail securizate (SEG), sunt foarte convingătoare și par a fi vizat. Acestea au evoluat de-a lungul timpului prin îmbunătățirea conținutului de e-mail, a conținutului PDF și a aspectului și comportamentului paginilor de phishing cu acreditări.”

Cofense a arătat o serie de capturi de ecran care compară materialele anterioare și cele prezente folosite de atacatori. Primele care primesc aceste îmbunătățiri sunt e-mailurile și PDF-urile, care sunt acum personalizate pentru a părea mai autentice. „E-mailurile timpurii aveau corpuri de e-mail mai simpliste, fără logo-uri și cu un limbaj relativ simplu”, a adăugat Cofense. „E-mailurile mai recente au folosit logo-uri, blocuri de semnătură, formatare consistentă și instrucțiuni mai detaliate. E-mailurile recente includ, de asemenea, link-uri pentru a accesa PDF-urile, mai degrabă decât să le atașeze direct.”

Pe de altă parte, pentru a preveni suspiciunile victimelor, actorii amenințărilor au făcut și modificări în pagina de phishing a acreditărilor, de la procesul de conectare la design și teme. Adresele URL ale paginilor sunt, de asemenea, modificate în mod intenționat în altele mai lungi (de exemplu, transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), astfel încât țintele vor vedea doar partea .gov în browser mai mic. ferestre. În plus, campania conține acum cerințe captcha și alte instrucțiuni pentru a face procesul mai credibil.

Perfecționările din astfel de campanii fac să diferențieze site-urile web și documentele reale de cele falsificate mai dificilă pentru ținte, mai ales acum că actorii folosesc informații actualizate copiate din surse originale. Cu toate acestea, Cofense a subliniat că există încă modalități de a preveni căderea victimelor acestor acte. În afară de identificarea detaliilor mici (de exemplu, data greșită pe pagini și URL-uri suspecte), toți destinatarii trebuie să fie întotdeauna precauți în a face clic pe linkuri, nu doar pe cele încorporate în e-mailuri, ci și pe cele din atașamente.