Специалисты компании PhishLabs рассказали о необычной кампании, нацеленной на угон аккаунтов пользователей Office 365. Как сообщили ИБ-аналитики, злоумышленники не стремятся украсть логин и пароль пользователя, но пытаются установить на его устройство вредоносный плагин с широким набором разрешений. Атаки носят целевой характер — киберпреступники применяют методы социальной инженерии, чтобы обманом заставить жертву загрузить зловреда.

Злоумышленники используют поддельное уведомление OneDrive

Точкой входа для нападающих является электронное письмо, маскирующееся под сообщение службы Microsoft OneDrive со ссылкой на файл в хранилище. В тексте письма, а также названии документа используются сведения, знакомые получателю. Реальный адрес отправителя скрыт при помощи спуфинга — вместо него отображаются данные одного из сотрудников целевой организации. Письмо не содержит прикрепленных объектов и способно успешно миновать антивирусные фильтры почтового сервера.

Ссылка на файл, содержащаяся в тексте, на самом деле является запросом на установку дополнительной утилиты для Office 365. Такие надстройки используются для расширения функций почтового клиента Outlook и других приложений, входящих в набор. Они могут быть созданы сторонними разработчиками и загружаются с принадлежащих им ресурсов.

Если получатель письма не был аутентифицирован в Office 365, то при переходе по ссылке откроется легитимный диалог ввода логина и пароля аккаунта Microsoft. После входа происходит запуск процесса установки, при этом вспомогательное приложение запрашивает широкий набор разрешений. Согласившись с ними, пользователь предоставляет надстройке возможность:

  • читать, изменять и удалять доступные файлы, а также создавать новые документы;
  • читать электронные письма;
  • изменять настройки электронной почты, в том числе создавать правила переадресации;
  • просматривать записные книжки OneNote, доступные в рамках аккаунта;
  • копировать список контактов.

Как выяснили исследователи, вредоносное расширение было создано 25 ноября 2019 года под учетной записью легитимной организации. По мнению специалистов, аккаунт разработчика был умышленно скомпрометирован для использования в криминальной кампании.

ИБ-аналитики не зафиксировали массового использования этого метода взлома, поскольку подготовка такой атаки требует значительных усилий от нападающих. Гораздо более распространенный способ угона аккаунтов Office 365 — получение доступа через незащищенный протокол IMAP. По данным компании Proofpoint, в период с сентября 2018 года по февраль 2019-го количество подобных инцидентов исчислялось десятками тысяч.

Категории: Вредоносные программы, Спам