MKD-CIRT National Centre for Computer Incident Response
Напаѓачите користат шифрирани RPMSG прилози испратени преку компромитирани сметки на Microsoft 365 со цел да украдат Microsoft акредитиви во таргетирани phishing напади дизајнирани да избегнуваат откривање преку безбедносните порти за е-пошта.
RPMSG-датотеките (исто така познати како датотеки со пораки со ограничена дозвола) се шифрирани мејл прилози создадени со помош на Microsoft Rights Management Services (RMS) и нудат дополнителен слој на заштита на чувствителните информации со ограничување на пристапот до овластените примачи.
Примателите кои сакаат да ги прочитаат мора да се автентицираат користејќи ја нивната сметка на Microsoft или да добијат еднократна лозинка за дешифрирање на содржината.
Како што Trustwave неодамна откри, барањата за автентикација на RPMSG сега се експлоатираат за да ги измамат жртвите да ги предадат нивните Microsoft акредитиви користејќи лажни форми за најавување.
„Ова започнува со мејл што потекнува од компромитирана сметка на Microsoft 365, во овој случај од Talus Pay, компанија за обработка на плаќања“, изјави Trustwave.
„Примачите беа корисници во одделот за наплата на компанијата-примач.
Пораката покажува Microsoft шифрирана порака“.
Мејлот на напаѓачите бара од жртвите да кликнат на копчето „Прочитај ја пораката“ за да ја дешифрираат и отворат заштитената порака, пренасочувајќи ги на веб-страница на Office 365 со барање да се пријават на нивната сметка на Microsoft.
По автентикацијата со користење на оваа легитимна Microsoft услуга, примателите конечно можат да ја видат phishing – поштата на напаѓачите што ќе ги испрати до лажен SharePoint документ хостиран на InDesign услугата на Adobe откако ќе кликнат на копчето „Кликнете овде за да продолжите“.
Оттаму, кликнувањето на „Кликни овде за да го видиш документот“ води до крајната дестинација која прикажува празна страница и порака „Се вчитува…почекај“ во насловната лента што делува како мамка за да овозможи малициозната скрипта да собира различни системски информации.
Собраните податоци вклучуваат ID на посетител, токен за поврзување и хаш, информации за рендерирање на видео картички, системски јазик, меморија на уредот, хардверска конкуренција, инсталирани browser plugins, детали за прозорецот на прелистувачот и ОС архитектурата.
Откако скриптата ќе заврши со собирање на податоците за жртвите, страницата ќе прикаже клонирана форма за најавување на Microsoft 365 која ќе ги испрати внесените кориснички имиња и лозинки до сервери контролирани од страна на напаѓачот.
Откривањето и спротивставувањето на таквите phishing напади може да се покаже доста предизвикувачки поради нивниот мал обем и таргетирана природа, како што забележаа Trustwave истражувачите.
Покрај тоа, употребата на доверливи cloud услуги од страна на напаѓачите, како што се Microsoft и Adobe, за испраќање phishing мејлови и содржини за домаќини додава дополнителен слој на сложеност и доверливост.
Шифрираните RPMSG прилози, исто така, ги кријат phishing пораките од портите за скенирање на е-пошта, со оглед на тоа што единствената хиперврска во почетната phishing порака ги насочува потенцијалните жртви кон легитимна Microsoft услуга.
„Едуцирајте ги вашите корисници за природата на заканата, наместо да се обидувате да ги дешифрирате или отклучите неочекуваните пораки од надворешни извори“, Trustwave ги советува компаниите кои сакаат да ги ублажат ризиците од овој тип на phishing напади.
„За да спречите компромитирање на сметките на Microsoft 365, овозможете повеќе -факторска автентикација (MFA).“
Извор: BleepingComputer
