O nouă campanie de phishing pe scară largă exploatează activ Microsoft Dynamics 365 Voice Custore Enterprise Fedback Management Applay pentru a declanșa utilizatorii și a stratului lor de clienți Autentificare multi-factor (MFA). Atacul reprezintă o amenințare semnificativă pentru numărul mare de organizații la nivel mondial care se bazează pe Microsoft 365 și Dynamics 365 pentru operațiuni de afaceri.
cercetători de securitate la
Lanțul de atac implică atragerea destinatarilor să facă clic pe link-uri false care susțin că au primit un nou document vocal sau PDF. Utilizatorii sunt direcționați mai întâi către un test CAPTCHA, o tactică destinată să acorde un aer de autenticitate. În urma acestui fapt, victimele sunt trimise pe un site de phishing conceput pentru a imita o pagină de conectare Microsoft, unde atacatorii încearcă să fure acreditări. Successful attacks grant cyber criminals unauthorized access to sensitive information and systems, potentially leading to manipulated internal accounts, theft of funds, and operational disruptions. Intestabilitatea acestei metode constă în exploatarea sa de încredere. Se bazează pe familiaritatea destinatarului cu comunicațiile de afaceri obișnuite care implică servicii marca Microsoft, ceea ce face ca e-mailurile frauduloase să fie dificile de distins de corespondența legitimă. Atacatorii folosesc legături legitime din notificările Microsoft ca parte a lanțului de atac. Această tehnică, care folosește site-uri legitime pentru a obține scanere de securitate din trecut, este denumită „autostrada statică” de către cercetătorii de la Check Point. Astfel de atacuri sunt incredibil de dificil pentru detectarea serviciilor de securitate și chiar mai greu de identificat utilizatorii. Link-ul de phishing nu apare adesea până la ultimul pas. Check Point spune că „utilizatorii sunt direcționați pentru prima dată către o pagină legitimă-astfel că trec peste adresa URL din corpul de e-mail nu va oferi protecție”. Link-ul de phishing redirecționează adesea utilizatorii prin mai multe pagini intermediare înainte de a ateriza pe pagina finală de phishing. atacatorii exploatează platforme precum Dynamics 365 Marketing Forms, deoarece sunt găzduite pe un serviciu Microsoft de încredere, ceea ce le face mai puțin probabil să fie semnalate de filtrele de securitate tradiționale. Formularele Dynamics 365 folosesc certificate SSL legitime, cum ar fi cele de la https://forms.office.com sau https://yourcompanyname.dynamics.com, care poate ajuta la sustragerea instrumentelor de detectare a phishingului că verificarea certificatelor nevalide sau suspecte. Bypass autentificare multi-factor. Acest lucru este adesea obținut prin utilizarea seturilor de instrumente sofisticate de phishing-as-a-service (PHAAS). Un exemplu notabil este Rockstar 2FA, care este utilizat în campanii care vizează acreditările Microsoft 365, inclusiv Dynamics 365 Voice și este conceput pentru a ocoli MFA. Interceptarea acreditărilor utilizatorilor și a cookie-urilor de sesiune, ceea ce înseamnă că chiar și utilizatorii cu MFA activată pot fi în continuare vulnerabili. Microsoft urmărește dezvoltatorii și distribuitorii kitului de phishing Dadsec/Phoenix, legat de Rockstar 2FA, sub Moniker Storm-1575 2FA is available via a subscription model, costing $200 for two weeks or $350 for a month, on platforms like ICQ, Telegram, and Mail.ru, allowing cyber criminals with little technical expertise to mount campaigns at scale. The toolkit includes features such as 2FA bypass, cookie harvesting, antibot protection using Cloudflare Turnstile, customizable login page themes mimicking popular services, Legături complet nedetectabile (FUD) și integrare a botului Telegram. Campanii de e-mail folosind Rockstar 2FA leving vectori de acces inițial, precum URL-uri, coduri QR și atașamente de documente. Șabloanele de aderență utilizate cu Rockstar 2FA variază de la notificări de partajare a fișierelor până la cereri de semnături electronice. Atacatorii folosesc redirectoarele legitime ale legăturilor ca mecanism pentru a ocoli detectarea antispamului. O dată în interiorul unui cont compromis, cybercriminalele acționează rapid. Aceștia pot lansa Business email-email Compromisise (BEC) atacuri , imprimarea executivilor pentru a solicita transferuri de fir frauduloase. De asemenea, atacatorii manipulează setările de e-mail pentru a-și ascunde activitatea, creând reguli de filtrare pentru a șterge automat notificările de securitate. Pentru a evita detectarea, pot utiliza serviciile VPN, ceea ce face ca autentificările lor să pară provenind din locația obișnuită a victimei. Microsoft a luat măsuri, blocând unele dintre paginile de phishing utilizate în campanie. Cu toate acestea, este posibil ca unele e-mailuri rău intenționate să fi ajuns încă în căsuțele de e-mail înainte de a fi eliminate aceste pagini. Microsoft a zădărnicit 4 miliarde de dolari în încercări de fraudă, a respins 49.000 de înscrieri frauduloase ale parteneriatului și a blocat aproximativ 1,6 milioane de încercări de înscriere BOT pe oră între aprilie 2024 și aprilie 2025, potrivit Blog de securitate microsoft Politica din ianuarie 2025, impunând echipelor de produse să efectueze evaluări de prevenire a fraudei și să implementeze controale de fraudă ca parte a procesului lor de proiectare, așa cum s-a menționat în postarea lor pe blog. Dincolo de această campanie specifică, utilizarea phishingului pentru a obține acreditări rămâne un vector de amenințare prevalent. La începutul acestui an, a fost observat un atac separat de phishing în masă, care a falsificat portalurile de conectare Microsoft ADFS pentru a deturna conturile de e-mail pentru afaceri, demonstrând că sistemele de autentificare Microsoft sunt ținte în curs. Trecerea către furtul de acreditare bazat pe phishing se aliniază cu o tendință mai largă în cyberattacks moderne. Peisajul mai larg de securitate cibernetică arată atacatorii care se bazează din ce în ce mai mult pe infrastructura de cloud legitimă pentru a găzdui paginile de phishing, astfel cum se găsește într-un raport Fortra și să efectueze inteligența artificială pentru a-și îmbunătăți atacurile. Îmbunătățirea calității și personalizării e-mailurilor frauduloase conform unei analize Netskope. Grupurile de hacking sponsorizate de stat folosesc, de asemenea, AI pentru a rafina operațiunile cibernetice, inclusiv phishing și recunoaștere, deși AI nu a creat încă metode de atac fundamental noi. Microsoft Noted Actorii care își caută propriile instrumente de productivitate, ceea ce face mai ușor și mai ieftin să genereze conținut credibil pentru cyberattacks într-un ritm din ce în ce mai rapid.”Instrumentele AI pot scana și zgâria web-ul pentru informațiile companiei, ajutând cyberattackers să construiască profiluri detaliate ale angajaților sau ale altor ținte pentru a crea ademeniri de inginerie socială extrem de convingătoare. Un alt exemplu recent de atacatori care exploatează sisteme legitime pentru phishing implică spoofingul sistemelor de e-mail Google prin reutilizarea semnăturilor DKIM valide. Această tehnică manipulează cadrul OAuth al Google pentru a trimite e-mailuri care au apărut autentic, ocolind verificările DMARC. Acesta subliniază o tendință mai largă în care atacatorii abuzează de platforme și protocoale de încredere pentru a acorda legitimitate înșelătoriilor lor. pentru a consolida apărarea împotriva atacurilor de phishing bazate pe identitate, experții în securitate cibernetică recomandă o abordare cu mai multe straturi. Pentru organizațiile care încă mai folosesc ADF-uri, tranziția la ID-ul Microsoft Entra este recomandată, deoarece oferă mai multe metode de autentificare rezistente la phishing. Implementarea Advanced email Security Solutions , monitorizarea activității de autentificare a e-mailului Instruirea regulată de conștientizare a securității sunt, de asemenea, pași cruciali. Angajații ar trebui să fie educați în identificarea încercărilor de phishing și la verificarea cererilor de conectare neobișnuite cu departamentul lor IT. Mișcarea către cadre de securitate cu încredere zero, care necesită verificare continuă, este de asemenea văzută ca un standard viitor. 
Exploatarea serviciilor Microsoft de încredere
context și atenuare mai largă
