Microsoft објави детали за фишинг кампања насочена кон 35.000 корисници во 26 земји

Microsoft откри детали за голема кампања за кражба на кориснички податоци, која користи комбинација од мамки поврзани со кодекс на однесување и легитимни е-пошта сервиси за да ги пренасочи корисниците кон домени контролирани од напаѓачи и да украде автентикациски токени.

Оваа повеќефазна кампања, забележана помеѓу 14 и 16 април 2026 година, таргетирала повеќе од 35.000 корисници во над 13.000 организации во 26 земји, при што 92% од метите биле лоцирани во САД. Поголемиот дел од фишинг пораките биле насочени кон секторите здравство и животни науки (19%), финансиски услуги (18%), професионални услуги (11%) и технологија и софтвер (11%).

„Мамките во оваа кампања користеа полирани HTML шаблони во корпоративен стил со структурирани распореди и претходни изјави за автентичност, што ги правеше поверодостојни од типичните фишинг пораки и ја зголемуваше нивната веродостојност како легитимни внатрешни комуникации,“ изјавија Microsoft Defender Security Research Team и Microsoft Threat Intelligence.

„Бидејќи пораките содржеа обвинувања и повторени временски ограничени повици за акција, кампањата создаваше чувство на итност и притисок за дејствување.“

Е-пораките користени во кампањата применувале мамки поврзани со прегледи на кодексот на однесување, со прикажани имиња како „Internal Regulatory COC,“ „Workforce Communications“ и „Team Conduct Report.“ Насловите на овие пораки вклучувале „Internal case log issued under conduct policy“ и „Reminder: employer opened a non-compliance case log.“ „На врвот на секоја порака имало известување дека пораката е ‘испратена преку овластен внатрешен канал’ и дека линковите и прилозите се ‘прегледани и одобрени за безбеден пристап,’ со што се засилува привидната легитимност на е-поштата,“ објасни Microsoft.

Се проценува дека пораките биле испратени преку легитимна услуга за испорака на е-пошта. Пораките содржеле и PDF прилог кој наводно давал дополнителни информации за прегледот на однесувањето, наведувајќи ги жртвите да кликнат на линк во документот за да се иницира процесот на кражба на податоци.

Откриено е дека синџирот на напад ги пренасочува жртвите преку повеќе нивоа на CAPTCHA проверки и посредни страници, кои се дизајнирани да ѝ дадат привид на легитимност на шемата, а воедно да ги заобиколат автоматизираните безбедносни одбрани.

На крајот, нападот завршува со искуство за најава кое користи фишинг техники од типот „adversary-in-the-middle“ (AiTM) за да прибере Microsoft кориснички податоци и токени во реално време, со што ефективно им овозможува на напаѓачите да ја заобиколат повеќефакторската автентикација (MFA). Крајната дестинација, според Microsoft, зависи од тоа дали злонамерниот процес е инициран од мобилен уред или од десктоп систем.

Фишинг трендови во 2026 година

Ова откритие доаѓа во време кога анализата на Microsoft за заканите преку е-пошта во периодот од јануари до март 2026 година покажала дека фишингот преку QR кодови станал најбрзорастечки вектор на напади, додека фишингот со CAPTCHA заштита се развивал „брзо“ кај различни типови на злонамерен товар. Вкупно, технолошкиот гигант соопшти дека детектирал околу 8,3 милијарди фишинг закани базирани на е-пошта.

Од нив, речиси 80% биле базирани на линкови, при што големи HTML и ZIP датотеки сочинувале значителен дел од злонамерните содржини дистрибуирани преку фишинг пораки. Крајната цел на поголемиот дел од овие напади била кражба на кориснички податоци, додека испораката на малициозен софтвер опаднала на само 5-6% до крајот на кварталот.

Microsoft исто така изјави дека операторите на платформата за фишинг-како-услуга Tycoon 2FA (PhaaS) се обиделе да ги променат хостинг провајдерите и моделите на регистрација на домени по координираната операција за нарушување во март 2026 година.

„Кон крајот на март, забележавме дека Tycoon 2FA се оддалечува од Cloudflare како хостинг сервис и сега ги хостира повеќето свои домени преку различни алтернативни платформи, што укажува дека групата се обидува да најде замена што нуди слични заштити од анализа,“ се додава.

Во извештај објавен уште во февруари, Palo Alto Networks Unit 42 истакна дека напаѓачите злоупотребуваат QR кодови како скратувачи на URL адреси за да ги прикријат злонамерните дестинации, користат in-app deep links за кражба на кориснички податоци и ги заобиколуваат безбедносните механизми на продавниците за апликации преку линкови кон директни преземања на малициозни апликации.

Податоците од Microsoft покажуваат огромен пораст на QR-код фишинг во текот на тримесечниот период, при што бројот на напади се зголемил од 7,6 милиони во јануари на 18,7 милиони во март, што претставува раст од 146%. Еден значаен развој забележан кон крајот на март е користењето QR кодови директно вградени во телото на е-пораките.

Измамите со компромитирање на деловна е-пошта (BEC), од друга страна, покажале варијации, надминувајќи 4 милиони напади во март 2026 година, во споредба со над 3,5 милиони во јануари и повеќе од 3 милиони во февруари. Вкупно, биле регистрирани 10,7 милиони BEC напади.

Две значајни кампањи забележани во првиот квартал од 2026 година се следниве:

• Голема и континуирана кампања помеѓу 23 и 25 февруари 2026 година, која испратила повеќе од 1,2 милиони пораки до корисници во над 53.000 организации во 23 земји, користејќи мамки поврзани со 401(k), плаќања и фактури, со цел да достави SVG прилог. Отворањето на датотеката ги пренасочувало жртвите кон CAPTCHA проверка, по чие успешно завршување им се прикажувала лажна страница за најава со цел компромитирање на нивните сметки.
• Масивна кампања на 17 март 2026 година, која вклучувала повеќе од 1,5 милиони потврдени злонамерни пораки испратени до над 179.000 организации во 43 земји. Оваа активност сочинувала 7% од сите злонамерни HTML прилози забележани тој месец. При отворање, HTML датотеката ги пренасочувала жртвите кон почетна фишинг страница што го проверувала посетителот, пред да го насочи кон финалната дестинација — фишинг страница со CAPTCHA пред да прикаже лажна форма за најава.

„Интересно е што, иако пораките во оваа кампања делеле заеднички алатки, структура и карактеристики на испорака, инфраструктурата што го хостирала финалниот фишинг товар била поврзана со повеќе различни PhaaS провајдери,“ соопшти Microsoft. „Поголемиот дел од забележаните фишинг крајни точки биле поврзани со Tycoon 2FA, додека дополнителна активност била поврзана со инфраструктурата на Kratos (поранешен Sneaky 2FA) и EvilTokens.“

Овие наоди се совпаѓаат со појавата на фишинг и BEC кампањи кои го злоупотребуваат Amazon Simple Email Service (SES) како канал за испорака, со цел да ги заобиколат SPF, DKIM и DMARC проверките и да овозможат кражба на кориснички податоци преку лажни страници за најава. Овие напади често функционираат преку добивање пристап до Amazon SES преку протечени AWS пристапни клучеви.

„Подмолната природа на нападите преку Amazon SES лежи во тоа што напаѓачите не користат сомнителни или опасни домени; наместо тоа, тие користат инфраструктура на која и корисниците и безбедносните системи веќе ѝ веруваат,“ соопшти Kaspersky.

„Со злоупотреба на оваа услуга, напаѓачите избегнуваат потреба да градат сомнителни домени и е-пошта инфраструктура од почеток. Наместо тоа, тие киднапираат постоечки пристапни клучеви за да стекнат можност да испраќаат илјадници фишинг пораки. Овие пораки ги поминуваат проверките за автентикација на е-пошта, доаѓаат од IP адреси кои тешко се ставаат на црни листи и содржат линкови до фишинг форми што изгледаат целосно легитимно.“

Извори:

• The Hacker News – Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries The Hacker News