Modern technology gives us many things.

Οι επιθέσεις phishing του Microsoft 365 χρησιμοποιούν κρυπτογραφημένα μηνύματα RPMSG

Οι εισβολείς χρησιμοποιούν τώρα κρυπτογραφημένα συνημμένα RPMSG που αποστέλλονται μέσω παραβιασμένων λογαριασμών Microsoft 365 για να κλέψουν τα διαπιστευτήρια της Microsoft σε στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό από πύλες ασφαλείας email.

Τα αρχεία RPMSG (γνωστά και ως αρχεία μηνυμάτων περιορισμένης άδειας) είναι κρυπτογραφημένα συνημμένα μηνυμάτων email που δημιουργούνται χρησιμοποιώντας τις Υπηρεσίες Διαχείρισης Δικαιωμάτων της Microsoft (RMS) και προσφέρουν ένα επιπλέον επίπεδο προστασίας σε ευαίσθητες πληροφορίες περιορίζοντας την πρόσβαση σε εξουσιοδοτημένους παραλήπτες.

Οι παραλήπτες που θέλουν να τα διαβάσουν πρέπει να πραγματοποιήσουν έλεγχο ταυτότητας χρησιμοποιώντας τον λογαριασμό τους Microsoft ή να αποκτήσουν έναν κωδικό πρόσβασης μίας χρήσης για την αποκρυπτογράφηση των περιεχομένων.

Ως Trustwave πρόσφατα ανακαλύφθηκεοι απαιτήσεις ελέγχου ταυτότητας του RPMSG αξιοποιούνται τώρα για να εξαπατήσουν στόχους ώστε να παραδώσουν τα διαπιστευτήριά τους Microsoft χρησιμοποιώντας πλαστές φόρμες σύνδεσης.

“Ξεκινά με ένα email που προέρχεται από έναν παραβιασμένο λογαριασμό Microsoft 365, στην προκειμένη περίπτωση από την Talus Pay, μια εταιρεία επεξεργασίας πληρωμών.” είπε ο Trustwave.

“Οι παραλήπτες ήταν χρήστες στο τμήμα τιμολόγησης της εταιρείας παραλήπτη. Το μήνυμα δείχνει ένα κρυπτογραφημένο μήνυμα της Microsoft.”

Τα μηνύματα ηλεκτρονικού ταχυδρομείου των φορέων απειλών ζητούν από τους στόχους να κάνουν κλικ σε ένα κουμπί “Ανάγνωση του μηνύματος” για να αποκρυπτογραφήσουν και να ανοίξουν το προστατευμένο μήνυμα, ανακατευθύνοντάς τους σε μια ιστοσελίδα του Office 365 με αίτημα να συνδεθούν στον λογαριασμό τους Microsoft.

Μετά τον έλεγχο ταυτότητας με χρήση αυτής της νόμιμης υπηρεσίας της Microsoft, οι παραλήπτες μπορούν τελικά να δουν το ηλεκτρονικό “phishing” των εισβολέων που θα τους στείλει σε ένα ψεύτικο έγγραφο του SharePoint που φιλοξενείται στην υπηρεσία InDesign της Adobe, αφού κάνουν κλικ στο κουμπί “Κάντε κλικ εδώ για Συνέχεια”.

Προστατευμένο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος
Προστατευμένο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (Trustwave)

Από εκεί, κάνοντας κλικ στο “Κάντε κλικ εδώ για να δείτε το έγγραφο” οδηγεί στον τελικό προορισμό που εμφανίζει μια κενή σελίδα και ένα μήνυμα “Φόρτωση…Περιμένετε” στη γραμμή τίτλου που λειτουργεί ως δόλωμα για να επιτρέψει σε ένα κακόβουλο σενάριο να συλλέξει διάφορα συστήματα πληροφορίες.

Τα δεδομένα που συλλέγονται περιλαμβάνουν αναγνωριστικό επισκέπτη, διακριτικό σύνδεσης και κατακερματισμό, πληροφορίες απόδοσης καρτών βίντεο, γλώσσα συστήματος, μνήμη συσκευής, συγχρονισμό υλικού, εγκατεστημένα πρόσθετα προγράμματος περιήγησης, λεπτομέρειες παραθύρου προγράμματος περιήγησης και αρχιτεκτονική λειτουργικού συστήματος.

Μόλις ολοκληρωθεί η συλλογή των δεδομένων των στόχων με το σενάριο, η σελίδα θα εμφανίσει μια κλωνοποιημένη φόρμα σύνδεσης του Microsoft 365 που θα στείλει τα καταχωρημένα ονόματα χρήστη και τους κωδικούς πρόσβασης σε διακομιστές που ελέγχονται από τους εισβολείς.

Ο εντοπισμός και η αντιμετώπιση τέτοιων επιθέσεων phishing μπορεί να αποδειχθεί αρκετά δύσκολη λόγω του χαμηλού όγκου και της στοχευμένης φύσης τους, όπως παρατηρήθηκε από τους ερευνητές της Trustwave.

Επιπλέον, η χρήση αξιόπιστων υπηρεσιών cloud από τους εισβολείς, όπως η Microsoft και η Adobe, για την αποστολή email phishing και περιεχομένου φιλοξενίας προσθέτει ένα επιπλέον επίπεδο πολυπλοκότητας και αξιοπιστίας.

Τα κρυπτογραφημένα συνημμένα RPMSG αποκρύπτουν επίσης μηνύματα ηλεκτρονικού “ψαρέματος” από πύλες σάρωσης email, δεδομένου ότι η μόνη υπερ-σύνδεση στο αρχικό μήνυμα ηλεκτρονικού “ψαρέματος” κατευθύνει τα πιθανά θύματα σε μια νόμιμη υπηρεσία της Microsoft.

“Εκπαιδεύστε τους χρήστες σας για τη φύση της απειλής και μην επιχειρήσετε να αποκρυπτογραφήσετε ή να ξεκλειδώσετε απροσδόκητα μηνύματα από εξωτερικές πηγές”, συμβουλεύει η Trustwave τις εταιρείες που θέλουν να μετριάσουν τους κινδύνους που ενέχει αυτό το είδος επίθεσης phishing.

“Για να αποτρέψετε την παραβίαση λογαριασμών Microsoft 365, ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).”



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση