Akterji prenavljajo materiale kampanje za lažno predstavljanje, da bi z Microsoftom 365 postali žrtve več državnih izvajalcev
3 min. prebrati
Objavljeno dne
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Skupina zlonamernih akterjev je stopnjevala svoje kampanje lažnega predstavljanja, da bi preslepila ogromna podjetja (zlasti tista v energetskem, poklicnem in gradbenem sektorju), da predložijo Microsoft Office 365 poverilnice računa. Po poročilu družbe za rešitve za odkrivanje in odziv na lažno predstavljanje Cofense, so operaterji kampanje izboljšali postopek in zasnovo svojih elementov vab in se zdaj preoblekli v druge ameriške vladne agencije, kot so ministrstva za promet, trgovino in delo.
"Akterji groženj vodijo vrsto kampanj, ki ponarejajo več oddelkov vlade Združenih držav," je dejal Cofense. »E-poštna sporočila trdijo, da zahtevajo ponudbe za vladne projekte, vendar žrtve vodijo na lažne strani s poverilnicami. Te kampanje potekajo vsaj od sredine leta 2019 in so bile prvič zajete v našem bliskovitem opozorilu julija 2019. Te napredne kampanje so dobro oblikovane, opažene v okoljih, zaščitenih z varnimi e-poštnimi prehodi (SEG), so zelo prepričljive in se zdijo biti ciljno usmerjen. Sčasoma so se razvili z izboljšanjem vsebine e-pošte, vsebine PDF ter videza in obnašanja lažnih strani s poverilnicami.«
Cofense je prikazal vrsto posnetkov zaslona, ki primerjajo prejšnje in sedanje gradivo, ki so ga uporabljali napadalci. Te izboljšave bodo najprej prejeli e-poštna sporočila in PDF-ji, ki jih zdaj prilagajamo, da bodo videti bolj pristni. "Prva e-poštna sporočila so imela bolj poenostavljena telesa e-poštnih sporočil brez logotipov in z relativno enostavnim jezikom," je dodal Cofense. »Novejša e-poštna sporočila so uporabljala logotipe, bloke podpisov, dosledno oblikovanje in podrobnejša navodila. Nedavna e-poštna sporočila vključujejo tudi povezave za dostop do PDF-jev, namesto da bi jih neposredno priložili.«
Po drugi strani pa so akterji groženj, da bi preprečili sume žrtev, spremenili tudi stran za lažno predstavljanje poverilnic, od postopka prijave do dizajna in tem. URL-ji strani so prav tako namerno spremenjeni v daljše (npr. prevoz[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), tako da bodo cilji videli samo del .gov v manjšem brskalniku okna. Poleg tega kampanja zdaj vsebuje zahteve za captcha in druga navodila, da je postopek bolj verjeten.
Zaradi izboljšav v takšnih kampanjah je razlikovanje resničnih spletnih strani in dokumentov od ponarejenih bolj zahtevno za tarče, zlasti zdaj, ko akterji uporabljajo posodobljene informacije, kopirane iz izvirnih virov. Kljub temu je Cofense poudaril, da še vedno obstajajo načini, kako preprečiti, da bi postali žrtev teh dejanj. Poleg odkrivanja majhnih podrobnosti (npr. napačen datum na straneh in sumljivih URL-jev) morajo biti vsi prejemniki vedno previdni pri klikanju povezav, ne le tistih v e-poštnih sporočilih, ampak tudi tistih v priponkah.