Nowa, na dużą skalę kampania phishingowa aktywnie wykorzystuje Microsoft Dynamics 365 Głos klienta Zastosowanie o zarządzaniu opinią w zakresie podmigu i ukradku ich login, w tym multi-factionsionicalistion. (MFA). Atak stanowi poważne zagrożenie dla ogromnej liczby organizacji na całym świecie, które opierają się na Microsoft 365 i Dynamics 365 dla operacji biznesowych.
Link phishingowy często nie pojawia się dopiero w ostatnim kroku. Check Point mówi: „Użytkownicy są najpierw skierowani na legalną stronę-więc unoszące się nad adresem URL w ciele e-mail nie zapewni ochrony”. Link phishingowy często przekierowuje użytkowników przez kilka pośrednich stron, zanim wylądują na ostatecznej stronie phishing.
Atakerzy wykorzystują platformy, takie jak formularze marketingowe Dynamics 365, ponieważ są hostowane w zaufanej usłudze Microsoft, co czyni je mniej prawdopodobnymi przez tradycyjne filtry bezpieczeństwa. Formularze Dynamics 365 Użyj legalnych certyfikatów SSL, takich jak https://forms.office.com lub https://yourcompanyname.dynamics.com, które mogą pomóc w uniknięciu narzędzi wykrywania phishingowych, które sprawdzają nieważne lub podejrzane certyfikaty.
MFA Bypaspaspass
Znacząca troska jest certyfikatami kampanii. Uwierzytelnianie wieloskładnikowe. This is often achieved through the use of sophisticated phishing-as-a-service (PhaaS) toolkits.
A notable example is Rockstar 2FA, which is being used in campaigns targeting Microsoft 365 credentials, including Dynamics 365 Customer Voice, and is designed to bypass MFA.
Rockstar 2FA employs an Adversary-in-the-Middle (AiTM) attack to Przechwytujący poświadczenia użytkowników i sesyjne pliki cookie, co oznacza, że nawet użytkownicy z MFA mogą być nadal narażeni. Microsoft śledzi programistów i dystrybutorów zestawu phishingowego Datsec/Phoenix, związanego z Rockstar 2FA,
Tematyka narzędzi, takie jak obsługa 2FA, bypass, cookie zbiór, antybotowa. W pełni niewykrywalne (FUD) łącza i integracja Bot Telegram. Kampanie e-mail za pomocą Rockstar 2FA wykorzystują różnorodne wektory początkowego dostępu, takie jak adresy URL, kody QR i załączniki dokumentów. Szablony przynęty używane z Rockstar 2FA, od powiadomień o udostępnianiu plików po żądania dotyczące podpisów elektronicznych. Atakerzy używają uzasadnionych przekierowników linków jako mechanizmu do ominięcia wykrywania antyspamu. Raz wewnątrz upośledzonego rachunku, cyberprzestępcy działają szybko. Mogą uruchomić Bus e-mail kompromis (BEC) , podbudowując kierownictwo, aby poprosić o ciężkie transfery witryny lub rozpowszechniać dalej phishing e-mail. Atakujący manipulują również ustawieniami e-mail, aby ukryć swoją aktywność, tworząc reguły filtrowania w celu automatycznego usuwania powiadomień bezpieczeństwa. Aby uniknąć wykrycia, mogą korzystać z usług VPN, dzięki czemu ich logowania wydają się pochodzą z zwykłej lokalizacji ofiary. Microsoft podjął działania, blokując niektóre strony phishingowe używane w kampanii. Jednak niektóre złośliwe e-maile mogły nadal osiągnąć skrzynki odbiorcze, zanim te strony zostały usunięte. Microsoft udaremnił próby oszustw o wartości 4 miliardów dolarów, odrzucił 49 000 nieuczciwych zapisów partnerskich i zablokował około 1,6 miliona prób rejestracji bota na godzinę między kwietniem 2024 a kwietniem 2025 r., Według . Microsofts również AfraD Preventeriontenceasures/”target W styczniu 2025 r. Wymaganie, aby zespoły produktów przeprowadziły oceny zapobiegania oszustwom i wdrożyć kontrolę oszustw w ramach procesu projektowania, jak zauważono w ich poście na blogu. Poza tą konkretną kampanią użycie phishing w celu uzyskania poświadczeń pozostaje powszechnym wektorem zagrożenia. Na początku tego roku zaobserwowano odrębny atak phishingowy masowy, który udał portale logowania Microsoft ADFS w celu porwania konta e-mail biznesowego, co pokazuje, że systemy uwierzytelniania Microsoft są ciągłymi celami. Ta kampania również przechwyciła poświadczenia i kody MFA w czasie rzeczywistym, podkreślając podatność federowanych systemów uwierzytelniania. Przejście w kierunku kradzieży poświadczeń opartych na phishing jest zgodne z szerszym trendem we współczesnych cyberatakach. Szerszy krajobraz bezpieczeństwa cybernetycznego pokazuje, że napastnicy coraz bardziej polegają na legalnej infrastrukturze chmurowej na phishing na stronach phishingowych, jak znaleziono w raporcie Fortra i wykorzystując sztuczną inteligencję, aby wzmocnić ich ataki. Jakość i personalizacja fałszywych wiadomości e-mail zgodnie z analizą NetSkope. Sponsorowane przez państwo grupy hakerskie wykorzystują również sztuczną inteligencję do udoskonalania cyberprzestrzeni, w tym phishing i rozpoznania, chociaż sztuczna inteligencja nie stworzyła jeszcze zasadniczo nowych metod ataku. Kolejny najnowszy przykład napastników wykorzystujących legalne systemy phishing obejmuje sfałszowanie systemów e-mail Google poprzez ponowne wykorzystanie ważnych sygnatur DKIM. Ta technika manipuluje ramy OAuth Google w celu wysyłania wiadomości e-mail, które pojawiły się autentycznie podpisane, omijając kontrole DMARC. Podkreśla szerszy trend, w którym atakujący nadużywają zaufanych platform i protokołów, aby nadać swoje oszustwa. W celu wzmocnienia obrony przed atakami phishingowymi opartymi na tożsamości, eksperci cyberbezpieczeństwa zalecają podejście wielowarstwowe. W przypadku organizacji nadal korzystających z ADF, zaleca się przejście do Microsoft Entra ID, ponieważ oferuje bardziej oporne na phishing metody uwierzytelniania. Szerszy kontekst i łagodzenie
Categories: IT Info