Una nuova campagna di phishing su larga scala sta sfruttando attivamente il Microsoft Dynamics 365 Customer Voice Enterprise Feedback Management per le voci per le voci e gli utenti di accesso, incluso il bypass, thinding bypass Bypass Autenticazione a più fattori (MFA). L’attacco rappresenta una minaccia significativa per il vasto numero di organizzazioni a livello globale che si basano su Microsoft 365 e Dynamics 365 per le operazioni aziendali.
Ricercatori di sicurezza su Sfruttare Microsoft Services fidati
L’intelligenza di questo metodo sta nello sfruttamento della fiducia. Si basa sulla familiarità del destinatario con le normali comunicazioni aziendali che coinvolgono i servizi a marchio Microsoft, rendendo le e-mail fraudolente difficili da distinguere dalla corrispondenza legittima. Gli aggressori stanno sfruttando collegamenti legittimi dalle notifiche di Microsoft come parte della catena di attacco. Questa tecnica, che sfrutta i siti legittimi per superare gli scanner di sicurezza, viene definita”The Static Expressway”dai ricercatori di Check Point. Tali attacchi sono incredibilmente difficili da rilevare per i servizi di sicurezza e ancora più difficili da identificare. Il link di phishing spesso non appare fino al passaggio finale. Check Point afferma che”Gli utenti sono prima indirizzati a una pagina legittima, quindi il mouse sull’URL nell’organismo di posta elettronica non fornirà protezione”. Il collegamento di phishing reindirizza spesso gli utenti attraverso diverse pagine intermedie prima di atterrare sulla pagina di phishing finale. Gli aggressori sfruttano piattaforme come i moduli di marketing di Dynamics 365 perché sono ospitati su un servizio di Microsoft di fiducia, rendendole meno probabili contrassegnate da filtri di sicurezza tradizionali. Dynamics 365 Forms Utilizza i certificati SSL legittimi, come quelli di https://forms.office.com o https://yourcompanyname.dynamics.com, che possono aiutare a eludere gli strumenti di rilevamento del phishing che controllano i certificati invalidi o sospetti. Autenticazione a più fattori. Ciò si ottiene spesso attraverso l’uso di sofisticati toolkit di phishing-as-a-service (PHAAS). Un esempio notevole è Rockstar 2FA, che viene utilizzato in campagne mirate alle credenziali di Microsoft 365, incluso la Dynamics 365, e è progettato per aggirare MFA. Rockstar 2fA Afterm-in-middle, tra cui Attacco (ATMATS ATM) Intercetta le credenziali dell’utente e i cookie di sessione, il che significa che anche gli utenti con MFA abilitati possono essere ancora vulnerabili. Microsoft tiene traccia degli sviluppatori e dei distributori del kit di phishing Dadsec/Phoenix, relativi a Rockstar 2FA, sotto la tempesta moniker-575 … 2FA è disponibile tramite un modello di abbonamento, che costa $ 200 per due settimane o $ 350 per un mese, su piattaforme come ICQ, Telegram e Mail.ru, che consentono ai criminali informatici con poche competenze tecniche per montare campagne su scala. Il kit di strumenti include le caratteristiche come 2FA per la raccolta di cookie, la protezione da cookie che Collegamenti non rilevabili (FUD) e integrazione di bot telegramma. campagne di posta elettronica utilizzando Rockstar 2FA sfrutta diversi vettori di accesso iniziale come URL, codici QR e allegati di documenti. I modelli di richiamo utilizzati con Rockstar 2FA vanno dalle notifiche di condivisione dei file alle richieste per le firme elettroniche. Gli aggressori usano i reinditor di collegamento legittimi come meccanismo per bypassare il rilevamento antispam. Una volta all’interno di un resoconto compromesso, i criminali criminali agiscono rapidamente. Possono lanciare e-mail aziendale a compromessi (bec) di e-mail. Gli aggressori manipolano anche le impostazioni e-mail per nascondere la loro attività, creando regole di filtraggio per eliminare automaticamente le notifiche di sicurezza. Per evitare il rilevamento, possono utilizzare i servizi VPN, facendo apparire i loro accessi dalla solita posizione della vittima. Microsoft ha preso provvedimenti, bloccando alcune delle pagine di phishing utilizzate nella campagna. Tuttavia, alcune e-mail dannose potrebbero aver ancora raggiunto la posta in arrivo prima che queste pagine fossero rimosse. Microsoft ha contrastato $ 4 miliardi di tentativi di frode, ha respinto 49.000 iscrizioni alla partnership fraudolente e ha bloccato circa 1,6 milioni di tentativi di iscrizione al bot all’ora tra aprile 2024 e aprile 2025, secondo il MicroSoft Security Blog Politica di prevenzione nel gennaio 2025 che richiede ai team di prodotti di eseguire valutazioni di prevenzione delle frodi e attuare controlli di frode come parte del loro processo di progettazione, come indicato nel loro post sul blog. Oltre a questa specifica campagna, l’uso del phishing per ottenere credenziali rimane un vettore di minaccia prevalente. All’inizio di quest’anno, è stato osservato un attacco di phishing di massa separato in concomitanza con i portali di accesso Microsoft ADFS per dirottare gli account di posta elettronica aziendale, dimostrando che i sistemi di autenticazione Microsoft sono obiettivi in corso. The shift toward phishing-based credential theft aligns with a broader trend in modern cyberattacks. The broader cybersecurity landscape shows attackers increasingly relying on legitimate cloud infrastructure to host phishing pages as found in a Fortra report and leveraging artificial intelligence to enhance their attacks. AI-driven phishing has led to a sharp rise in successful attacks by improving La qualità e la personalizzazione di e-mail fraudolente secondo un’analisi Netskope. I gruppi di hacking sponsorizzati dallo stato stanno anche usando AI per perfezionare le operazioni informatiche, tra cui phishing e ricognizione, sebbene l’IA non abbia ancora creato metodi di attacco fondamentalmente nuovi. Per rafforzare le difese contro gli attacchi di phishing basati su identità, gli esperti di sicurezza informatica raccomandano un approccio a più livelli. Per le organizzazioni ancora utilizzando ADFS, viene consigliata la transizione a Microsoft Enter ID, in quanto offre più metodi di autenticazione resistenti al phishing. Implementazione e-mail soluzioni e-mail Contesto più ampio e mitigazione
