Một chiến dịch lừa đảo quy mô lớn mới nhắm mục tiêu vào các tổ chức toàn cầu đã bị phát hiện để vượt qua Microsoft Office 365 Advanced Threat Protection (ATP) và đánh cắp thông tin đăng nhập của hơn một nghìn nhân viên công ty.
Các nhà nghiên cứu của Check Point Research hôm nay cho biết cuộc tấn công mạng được cho là bắt nguồn từ tháng 8 năm ngoái, với các cuộc tấn công đặc biệt nhằm vào các công ty năng lượng và xây dựng, các nhà nghiên cứu từ Check Point Research cho biết hôm nay trong một cuộc phân tích chung với công ty an ninh mạng công nghiệp Otorio.
Mặc dù các chiến dịch lừa đảo được thiết kế để đánh cắp thông tin đăng nhập là một trong những lý do phổ biến nhất dẫn đến vi phạm dữ liệu, nhưng điều khiến hoạt động này nổi bật là lỗi bảo mật hoạt động dẫn đến việc những kẻ tấn công vô tình tiết lộ thông tin đăng nhập mà chúng đã đánh cắp được lên Internet công cộng.
“Với một tìm kiếm đơn giản trên Google, bất kỳ ai cũng có thể tìm thấy mật khẩu của một trong những địa chỉ email bị đánh cắp, bị xâm nhập: một món quà cho mọi kẻ tấn công cơ hội”, các nhà nghiên cứu cho biết.
Chuỗi tấn công bắt đầu bằng các chiêu trò lừa đảo có mục đích là thông báo quét Xerox (hoặc Xeros) có chứa tệp đính kèm HTML, mà khi mở ra, khuyến khích người nhận nhập mật khẩu Office 365 của họ trên trang đăng nhập giả mạo, sau đó được trích xuất và gửi đến một máy chủ từ xa trong một tệp văn bản.
Các nhà nghiên cứu lưu ý rằng mã JavaScript để lấy thông tin xác thực liên tục được đánh bóng và tinh chỉnh đến mức tránh được hầu hết các nhà cung cấp phần mềm chống vi-rút và tạo ra trải nghiệm người dùng “thực tế” để lừa nạn nhân cung cấp thông tin đăng nhập của họ.
Để đạt được mục tiêu đó, chiến dịch đã dựa trên sự kết hợp của cơ sở hạ tầng chuyên biệt cũng như các máy chủ WordPress bị xâm nhập đã được những kẻ tấn công sử dụng làm “drop-zone” để lưu trữ thông tin đăng nhập, do đó tận dụng danh tiếng của các trang web hiện có này để sử dụng phần mềm bảo mật. .
Việc thông tin đăng nhập bị đánh cắp được lưu trữ trên các tệp văn bản cụ thể trong các máy chủ này cũng có nghĩa là các công cụ tìm kiếm như Google có thể lập chỉ mục các trang đó và làm cho chúng có thể truy cập được cho bất kỳ kẻ xấu nào đang tìm kiếm mật khẩu bị xâm phạm chỉ bằng một tìm kiếm dễ dàng.
Hơn nữa, bằng cách phân tích các tiêu đề email khác nhau được sử dụng trong chiến dịch này, các nhà nghiên cứu đã đi đến kết luận rằng các email được gửi từ một máy chủ Linux được lưu trữ trên nền tảng Microsoft Azure sử dụng PHP Mailer 6.1.5 và được gửi qua máy chủ email 1 & 1 Ionos.
Các nhà nghiên cứu lưu ý: “Rất có thể thông tin đăng nhập tài khoản IONOS bị xâm phạm đã được những kẻ tấn công sử dụng để gửi phần còn lại của thư rác theo chủ đề Office 365”.
Để giảm thiểu các mối đe dọa như vậy, người dùng nên đề phòng email có người gửi không xác định, tên miền trông giống và lỗi chính tả trong email hoặc trang web, không nhấp vào các liên kết đáng ngờ trong email và tuân thủ vệ sinh mật khẩu để bảo mật tài khoản.
Lotem Finkelsteen, người đứng đầu bộ phận tình báo về mối đe dọa tại Check Point, cho biết: “Chúng tôi có xu hướng tin rằng khi ai đó đánh cắp mật khẩu của chúng tôi, trường hợp xấu nhất là thông tin sẽ được sử dụng bởi những tin tặc trao đổi chúng qua mạng lưới đen tối”. “Không phải trong trường hợp này. Ở đây, toàn bộ công chúng đã có quyền truy cập vào thông tin bị đánh cắp.”
“Chiến lược của những kẻ tấn công là lưu trữ thông tin bị đánh cắp trên một trang web cụ thể mà chúng đã tạo. Bằng cách đó, sau khi các chiến dịch lừa đảo chạy trong một thời gian nhất định, những kẻ tấn công có thể quét các máy chủ bị xâm nhập để tìm các trang web tương ứng, thu thập thông tin đăng nhập để đánh cắp. những kẻ tấn công đã không nghĩ rằng nếu họ có thể quét Internet để tìm những trang đó – Google cũng có thể. Đây là một lỗi bảo mật hoạt động rõ ràng đối với những kẻ tấn công. “
