Необычную фишинговую схему выявили ИБ-специалисты Netskope. Эксперты обнаружили вредоносную кампанию, в рамках которой киберпреступники использовали облачный сервис Azure Blob для хранения поддельной формы сбора персональных данных. По словам исследователей, злоумышленники рассчитывали, что фальшивый документ не вызовет подозрения у жертвы, поскольку защищен SSL-сертификатом Microsoft.

Azure Blob предоставляет подписчикам пространство для хранения неструктурированных данных, таких как изображения, текст или исполняемые файлы. Доступ к пользовательским объектам может осуществляться как по HTTP, так и по защищенному каналу с использованием HTTPS, чем и воспользовались мошенники.

Вредоносная кампания началась со спам‑рассылки от имени юридической компании из Денвера. К письму был прикреплен PDF‑файл, содержавший лишь кнопку для просмотра или загрузки документа, перенаправлявшую жертву на поддельную веб‑страницу авторизации Office 365.

Форма представляла собой открытый HTML‑файл, хранящийся на Azure Blob. Пользователь, видя SSL-сертификат Microsoft, мог подумать, что он принадлежит окну авторизации и ввести в него логин и пароль. Вредоносный скрипт отправлял учетные данные злоумышленникам, а жертву перенаправлял на одну из страниц легитимного сайта Office 365.

По такому же алгоритму была выстроена атака через IPFS-шлюз сервиса Cloudflare, о которой стало известно днем позже. Киберпреступники заманивали пользователя на фальшивую страницу авторизации облачного сервиса, а похитив данные, перенаправляли его на PDF-документ, озаглавленный как «Бизнес модели, стратегии и инновации».

Заинтересовавшись новой кампанией, исследователи выяснили, что злоумышленнику принадлежит целая сеть фишинговых страниц, имитирующих формы входа в аккаунты Google, Windows, DocuSign и других сервисов.

По словам исследователей, единственным способом защиты от такой атаки может быть лишь тщательная проверка URL-адреса страницы. Используемые злоумышленниками файлы не содержат деструктивных макросов, а значит, их не выловит технология Antimalware Scan Interface (AMSI), недавно добавленная в Office 365. Новый алгоритм позволяет на лету проверять скрипты, интегрированные в открываемые документы, и оперативно блокировать вредоносную активность.

В мае этого года ИБ-специалисты сообщили, что входящий в состав офисного пакета почтовый клиент Outlook пропускает ссылки на фишинговые сайты, размещенные в теле письма. Как выяснилось, проверяя содержимое входящего сообщения, система не учитывает ссылки, заданные при помощи тега <base>. Этот оператор позволяет однажды описать URL в заголовке, чтобы потом использовать только относительное обращение к нему.

Категории: Мошенничество