Актеры обновляют материалы фишинговой кампании, чтобы жертвовать больше государственных подрядчиков с помощью Microsoft 365

Группа злоумышленников усилила свои фишинговые кампании, чтобы обманом заставить крупные компании (особенно в сфере энергетики, профессиональных услуг и строительства) представить свои Microsoft Офис 365 учетные данные учетной записи. Согласно отчету компании по обнаружению и реагированию на фишинг Кофейня, операторы кампании улучшили процесс и дизайн своих элементов-приманок и теперь маскируются под другие правительственные учреждения США, такие как министерства транспорта, торговли и труда.

«Злоумышленники проводят серию кампаний, подделывая несколько департаментов правительства США», — сказал Кофенсе. «В электронных письмах утверждается, что запрашиваются заявки на участие в государственных проектах, но вместо этого они приводят жертв на фишинговые страницы учетных данных. Эти кампании проводятся по крайней мере с середины 2019 года и впервые были описаны в нашем выпуске Flash Alert в июле 2019 года. Эти продвинутые кампании хорошо продуманы, их можно было увидеть в средах, защищенных безопасными почтовыми шлюзами (SEG), они очень убедительны и кажутся быть нацеленным. Со временем они развивались, улучшая содержимое электронной почты, содержимое PDF, а также внешний вид и поведение фишинговых страниц с учетными данными».

Cofense показала серию скриншотов, сравнивающих предыдущие и настоящие материалы, используемые злоумышленниками. Первыми эти улучшения получили электронные письма и PDF-файлы, которые теперь настраиваются, чтобы выглядеть более аутентично. «Ранние электронные письма имели более упрощенные тексты без логотипов и с относительно простым языком», — добавил Кофенс. «В более поздних электронных письмах использовались логотипы, блоки подписи, последовательное форматирование и более подробные инструкции. Недавние электронные письма также содержат ссылки для доступа к PDF-файлам, а не для их непосредственного прикрепления».

С другой стороны, чтобы предотвратить подозрения жертв, злоумышленники также внесли изменения в страницу фишинга учетных данных, от процесса входа в систему до дизайна и тем. URL-адреса страниц также намеренно изменены на более длинные (например, transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), поэтому целевые пользователи будут видеть только часть .gov в меньшем браузере. окна. Кроме того, в кампании теперь есть требования по вводу кода и другие инструкции, чтобы сделать процесс более правдоподобным.

Уточнения в таких кампаниях усложняют задачу отличить настоящие веб-сайты и документы от поддельных, особенно теперь, когда субъекты используют обновленную информацию, скопированную из первоисточников. Тем не менее, Cofense подчеркнула, что все еще есть способы не стать жертвой этих действий. Помимо обнаружения мелких деталей (например, неправильной даты на страницах и подозрительных URL-адресов), все получатели всегда должны быть осторожны при переходе по ссылкам, не только тем, которые встроены в электронные письма, но и тем, которые находятся во вложениях.