Η Microsoft ανέλαβε περισσότερους από 6 τομείς που χρησιμοποίησαν απάτες COVID-19 για την παραβίαση λογαριασμών Office 365

Τον Δεκέμβριο του 2019, μια ομάδα εγκληματιών στον κυβερνοχώρο ξεκίνησε μια έξυπνη εκστρατεία ηλεκτρονικού ψαρέματος (phishing) που στοχεύει οργανισμούς σε 62 χώρες σε όλο τον κόσμο. Ο στόχος τους ήταν να παραβιάσουν ορισμένους λογαριασμούς του Office 365 και να αποκτήσουν πρόσβαση σε οτιδήποτε, από λίστες επαφών έως ευαίσθητα αρχεία. Η Microsoft παρατήρησε την επίθεση και έλαβε μέτρα για την προστασία των πελατών της. Η εκστρατεία σταμάτησε αρχικά, αλλά δυστυχώς, τα μέτρα λειτούργησαν για λίγο μόνο και οι χάκερ επέστρεψαν με ένα άλλο κύμα επιθέσεων.

Παραδόξως ή όχι, η Microsoft ξεκίνησε και πάλι σε δράση, και αφού αναγνώρισε ορισμένους από τους τομείς που χρησιμοποιήθηκαν κατά τη διάρκεια της εκστρατείας, υπέβαλε νομικές αγωγές και ζήτησε να τα ελέγξει. Σύμφωνα με ένα δικαστικό έγγραφο που δημοσίευσε το ZDNet την Τρίτη, ο γίγαντας λογισμικού ελέγχει τώρα έξι τομείς που μέχρι πρόσφατα ανήκαν στους απατεώνες.

Αυτό είναι σίγουρα καλά νέα, αλλά ας δούμε αν η απόφαση του δικαστηρίου θα σταματήσει για πάντα τις επιθέσεις των εγκληματιών.

Μια απάτη ηλεκτρονικού ψαρέματος COVID-19 στοχεύει χρήστες του Office 365

Η απάτη ξεκίνησε με ένα κοινωνικά σχεδιασμένο email. Τα μηνύματα ανέφεραν ότι ένας υπάλληλος του οργανισμού ή ένας έμπιστος συνεργάτης μοιράζεται ένα έγγραφο του Office 365 και αρχικά, οι στόχοι έγιναν να σκεφτούν ότι κάνοντας κλικ στον σύνδεσμο στο email, θα έβλεπαν κάτι σαν μια τριμηνιαία οικονομική έκθεση. Εντούτοις, εν μέσω της πανδημίας του κοραναϊού, οι χάκερ άρχισαν να συγκαλύπτουν τους κακόβουλους συνδέσμους τους ως έγγραφα που σχετίζονται με το COVID-19.

Όπως μπορείτε να φανταστείτε, ο σύνδεσμος στο email δεν οδήγησε σε έγγραφο του Office 365 οποιασδήποτε περιγραφής. Σύμφωνα με το ZDNet, έστειλε αρχικά τους χρήστες στη νόμιμη φόρμα σύνδεσης της Microsoft και μετά από επιτυχή έλεγχο ταυτότητας, τους ανακατεύθυνε σε έναν από τους κατασχεθέντες τομείς.

Μια επίθεση ηλεκτρονικού ψαρέματος με μια περιστροφή

Ο απώτερος στόχος των επιτιθέμενων ήταν να αναλάβει τον λογαριασμό του Office 365 του στόχου, αλλά περίεργα, δεν το έκαναν με τη βοήθεια διαπιστευτηρίων σύνδεσης. Αντ 'αυτού, το έκαναν μέσω κακόβουλων εφαρμογών του Office 365 που φιλοξενούνται στους τομείς που κατέχει πλέον η Microsoft.

Η αποτελεσματική χρήση του Office 365 σε συγκεκριμένους οργανισμούς εξαρτάται από διάφορες εφαρμογές που βελτιώνουν τη λειτουργικότητα ή την ασφάλεια της υπηρεσίας και οι χρήστες δεν είναι ξένοι για τη σύνδεσή τους με τους λογαριασμούς τους. Όλες οι εφαρμογές του Office 365 ζητούν δικαιώματα πριν συνδεθούν στον λογαριασμό του χρήστη και οι κακόβουλες εφαρμογές των απατεώνων δεν αποτελούν εξαίρεση. Απογοητευμένοι από τον αέρα της νομιμότητας που δημιουργήθηκε από το σχεδιασμό των εφαρμογών, τα θύματα που πέτυχαν την απάτη έδωσαν στους κυβερνοεγκληματίες απεριόριστη ή περισσότερο απεριόριστη πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου, τα αρχεία, τις λίστες επαφών και τις ρυθμίσεις τους. Και το έκαναν χωρίς να αποκαλύψουν τους κωδικούς πρόσβασης.

Ήταν μια περίπλοκη επίθεση Business Email Compromise (BEC) και είναι δύσκολο να φανταστεί κανείς πόσο θα μπορούσε να κοστίσει. Η κατάσχεση των κακόβουλων τομέων σημαίνει ότι οι εφαρμογές δεν είναι πλέον ενεργές και η καμπάνια έχει σταματήσει για τώρα, αλλά δυστυχώς, αγωνιζόμαστε να δούμε τι θα μπορούσε να εμποδίσει τους εγκληματίες του κυβερνοχώρου να εγγράψουν νέους τομείς και να ανανεώσουν την προσπάθειά τους ανά πάσα στιγμή.

Οι κακόβουλες εφαρμογές του Office 365 αντιπροσωπεύουν έναν ασυνήθιστο και σχετικά νέο φορέα επίθεσης και, όπως μπορείτε να δείτε, μπορεί να είναι αδίστακτα αποτελεσματικό. Οι επιχειρήσεις και οι οργανισμοί που χρησιμοποιούν τις υπηρεσίες της Microsoft δεν πρέπει να το υποτιμούν και πρέπει να το συμπεριλάβουν στα μοντέλα απειλών τους το συντομότερο δυνατό.