Необычную фишинговую кампанию обнаружили ИБ-специалисты из EdgeWave. Злоумышленники маскируют вредоносные письма под уведомления о голосовом сообщении и пытаются похитить учетные данные от аккаунта Microsoft. Мошенники используют EML-вложения, чтобы обойти спам-фильтры и антивирусные сканеры, а также придать достоверность своей рассылке.

Outlook открывает EML-файлы как обычные письма. При этом почтовые фильтры и многие другие системы защиты могут пропускать такие объекты. Так, по словам аналитиков, сервис Virus Total определил полученный ими экземпляр вложения как безопасный.

Как отмечают исследователи, письма рассылаются с легитимных доменов. В отчете EdgeWave приводится адрес, принадлежащий лондонской компании по обслуживанию недвижимости. При этом реальный IP, с которого осуществлялась рассылка, указывает на VPN-провайдера Strong Technology, расположенного в Бостоне. Еще одно сообщение, опубликованное изданием Bleeping Computer, пришло якобы с домена американской рекрутинговой компании.

Вложенный EML-файл выглядит как уведомление о голосовом сообщении в облачном сервисе RingCentral. В нем приводятся ссылки, по которым якобы можно посмотреть, прослушать или сохранить аудиофайл. Все ссылки ведут на один и тот же фишинговый ресурс.

Первоначально мошенники использовали прямой адрес страницы на своем сервере в доменной зоне Экваториальной Гвинеи. В более поздних вариантах рассылки они стали применять сервис x.co для сокращения и маскировки ссылок.

Фишинговый сайт имитирует страницу авторизации Microsoft. Как выяснили специалисты, после ввода логина и пароля вредоносный ресурс выводит сообщение о том, что учетные данные некорректны, чтобы заставить пользователя повторить операцию. По мнению исследователей, таким образом злоумышленники пытаются убедиться в правильности паролей.

После повторной аутентификации в браузере открывается аудиофайл, похожий на реальное голосовое сообщение. Его текст не содержит номеров телефонов и другой информации, которая могла бы вызвать подозрение у жертвы. Скорее всего, прослушав запись, пользователь решит, что отправитель ошибся номером, и не поймет, что его учетные данные скомпрометированы.

Злоумышленники постоянно обращаются к методам социальной инженерии, к которым относится и фишинг. Только за третий квартал прошлого года антивирусные продукты «Лаборатории Касперского» предотвратили 137 млн попыток перехода на вредоносные страницы. ИБ-специалисты подсчитали, что почти треть подобных атак приходится на посетителей глобальных интернет-порталов.

Категории: Мошенничество, Спам