Nyhet —
Legitim Microsoft-inloggning utnyttjas i nätfiskekampanj
Angripare använder riktiga Microsoft‑inloggningar, döljer nätfiskelänkar i PDF‑bilagor och använder olika metoder för att kringgå säkerhetskontroller i e‑postmiljöer. Det framgår av Barracuda Networks senaste Email Threat Radar-rapport som beskriver flera aktuella attacker mot organisationer och deras medarbetare.
En av de attacker som beskrivs innebär att angripare använder Tycoon 2FA, en plattform för nätfiske som tjänst, och en legitim Microsoft‑inloggningssida i stället för en falsk kopia. Syftet är att få användaren att logga in och därigenom fånga upp sessionstoken och behörigheter, vilket kan ge åtkomst till mejl, filer och Microsoft 365‑tjänster.
Attacken inleds med ett mejl som varnar för att inkorgen är nära att bli full. Meddelandet innehåller en kalenderinbjudan till ett påstått möte med Microsofts säkerhetsteam samt en knapp för att frigöra kvarhållna mejl.
Knappen leder till en Microsoft‑inloggning som är äkta, men som nås via angriparnas egen registrerade applikation i Tycoon 2FA‑plattformen. När användaren loggar in fångas sessions-ID upp. I nästa steg uppmanas användaren att ange sina uppgifter på en falsk sida, vilket gör att angriparna också kan få tillgång till lösenordet.
Länkar döljs i PDF‑bilagor
Rapporten beskriver även attacker där misstänkta länkar har flyttats från mejlets brödtext till en PDF‑bilaga.
I den analyserade kampanjen uppmanas mottagaren att öppna en bilaga som rör exempelvis regelefterlevnad eller betalningar. Länken i dokumentet leder till en autentiseringsprocess som liknar en legitim inloggning och samlar in användaruppgifter och e‑postadress.
I dessa fall genereras enhetskoder lokalt i webbläsaren i stället för att använda riktiga Microsoft‑API:er. Det efterliknar den process som används för att koppla enheter till Microsoft‑konton. Bedrägerikampanjen använder även CAPTCHA samt nätfiskesidor som upphör att fungera efter en viss tid.
Knapp med två olika utfall i samma mejl
En annan attack använder en så kallad ”split-click”-teknik, där en och samma knapp får olika funktion beroende på var användaren klickar.
I det observerade fallet leder ett klick på den övre delen av knappen till en legitim Microsoft‑sida, medan den nedre delen leder vidare till en nätfiskesida via en så kallad blob‑URL som genereras i webbläsaren.
Nätfiske används också för att sprida skadlig kod
Enligt rapporten används nätfiske i vissa fall även för att leverera skadlig kod, utöver att samla in inloggningsuppgifter.
Bland exemplen som lyfts fram finns:
- filer som framstår som ofarliga PDF‑dokument men som i själva verket innehåller ett JavaScript där skriptet döljer sin skadliga kod i det falska dokumentet med hjälp av steganografi och tekniker för att maskera koden
- kampanjer där angripare utger sig för att vara en myndighet och distribuerar skript som hämtar ytterligare kod och kör den i minnet med hjälp av Windows‑komponenter
- attacker i flera steg där användaren leds via flera sidor, till exempel från en HTML‑fil till en falsk OneDrive och vidare till en inloggningssida
Rekommendationer från Barracuda
I rapporten lyfter Barracuda fram följande åtgärder:
- skydda identiteter och sessions-ID, inte enbart lösenord
- utöka förmågan att upptäcka hot till att omfatta kalenderinbjudningar, bilagor och inloggningsflöden
- använd beteendebaserad detektion
- investera i skydd för bilagor och klienter
- möjliggör snabb incidentrespons
- uppdatera utbildningar så att de speglar aktuella nätfiskemetoder
Rapporten bygger på analyser från Barracuda Research.