A new, large-scale phishing campaign is actively exploiting the Microsoft Dynamics 365 Customer Voice enterprise feedback management application to deceive users and steal their login credentials, including bypassing Multifaktorautentisering (MFA). The attack poses a significant threat to the vast number of organizations globally that rely on Microsoft 365 and Dynamics 365 for business operations.
Security researchers at Check Point have Identifierade denna kampanj och noterade att den utnyttjar komprometterade konton för att skicka e-postmeddelanden som innehåller Fake Dynamics 365 Kundröstlänkar. E-postmeddelandena är utformade för att verka legitima, ofta centrerade kring finansiella teman som avvecklingsuttalanden eller betalningsinformation. Kampanjen har redan distribuerat över 3 370 e-postmeddelanden och når anställda i mer än 350 organisationer, främst i USA, och inriktat sig på en miljon brevlådor.
Attackkedjan innebär att locka mottagare för att klicka på falska länkar som hävdar att de har fått en ny röstmeddelande eller PDF-dokument. Användare riktas först till ett CAPTCHA-test, en taktik som är avsedd att låna ut en luft av äkthet. Efter detta skickas offren till en phishing-webbplats utformad för att efterlikna en Microsoft-inloggningssida, där angripare försöker stjäla referenser. Successful attacks grant cyber criminals unauthorized access to sensitive information and systems, potentially leading to manipulated internal accounts, theft of funds, and operational disruptions.
Exploiting pålitliga Microsoft-tjänster
Den smartheten i denna metod ligger i dess utnyttjande av förtroende. Det förlitar sig på mottagarens kännedom om regelbunden affärskommunikation som involverar Microsoft-märkta tjänster, vilket gör de bedrägliga e-postmeddelanden svåra att skilja från legitim korrespondens. Angripare utnyttjar legitima länkar från Microsoft-aviseringar som en del av attackkedjan.
Denna teknik, som utnyttjar legitima platser för att komma förbi säkerhetsskannrar, kallas’den statiska motorvägen’av checkpunktforskarna. Sådana attacker är oerhört svåra för säkerhetstjänster att upptäcka och ännu svårare för användare att identifiera.
Fishing-länken visas ofta inte förrän det sista steget. Kontrollpunkten säger att”användare är först riktade till en legitim sida-så att sväva över URL i e-postkroppen kommer inte att ge skydd.”Phishing-länken omdirigerar ofta användare genom flera mellansidor innan de landar på den sista phishing-sidan.
Angripare utnyttjar plattformar som Dynamics 365 marknadsföringsformulär eftersom de är värd på en pålitlig Microsoft-tjänst, vilket gör dem mindre benägna att flaggas av traditionella säkerhetsfilter. Dynamics 365 forms use legitimate SSL certificates, such as those from https://forms.office.com or https://yourcompanyname.dynamics.com, which can help evade phishing detection tools that check for invalid or suspicious certificates.
MFA Bypass Capabilities
A significant concern is the campaign’s ability to bypass Multifaktorautentisering. Detta uppnås ofta genom att använda sofistikerade phishing-as-a-service (PHAAS) verktygssatser.
Ett anmärkningsvärt exempel är Rockstar 2FA, som används i kampanjer som riktar sig till Microsoft 365-referenser, inklusive Dynamics 365 Customer Voice, och är designad för att bypass MFA. Interceptera användaruppgifter och sessionskakor, vilket innebär att även användare med MFA aktiverade fortfarande kan vara sårbara. Microsoft tracks the developers and distributors of the Dadsec/Phoenix phishing kit, related to Rockstar 2FA, under the moniker Storm-1575.
Rockstar 2FA är tillgänglig via en prenumerationsmodell, som kostar $ 200 för två veckor eller $ 350 för en månad, på plattformar som ICQ, Telegram och Mail.ru, vilket tillåter cyberbrottslingar med lite teknisk expertis till monteringskampanjer i skala.
TOOLSKITEN inkluderar funktioner som 2FA BYPASS, Cookie Harvesting, Antibot Protection med hjälp av CloudFlare, TOMALEM, TEMALE-PURIALS PURIALE, POTALIMER, POALIMABY SIDE, POALIMEBALE PAPURITY PURALIMER, POALIMEBAY, POALIMEBAY, POALIMEBAY, PUCALE MAMIMABY PUCALE MAMIME MAMIME MAMIME Otetekterbara (FUD) länkar och telegrambotintegration.
e-postkampanjer med RockStar 2FA hävsterar olika initiala åtkomstvektorer som URL: er, QR-koder och dokumentbilagor. Lockmallar som används med Rockstar 2FA sträcker sig från anmälningar av fildelning till förfrågningar om e-signaturer. Angripare använder legitima länkredirektorer som en mekanism för att kringgå antispamdetektering.
Bredare sammanhang och begränsning
En gång inom ett komprometterat konto, verkar cyberbrottslingar snabbt. De kan starta Business E-post compromise (bec) attacker , impersonating to questalent fredalulent crainulent witefers, ort cutor eller spridning, eller spridning eller spridning eller spridning eller spridning av e-postmeddelanden. Angripare manipulerar också e-postinställningar för att dölja sin aktivitet och skapa filtreringsregler för att automatiskt ta bort säkerhetsmeddelanden. För att undvika upptäckt kan de använda VPN-tjänster, vilket gör att deras inloggningar verkar komma från offrets vanliga plats.
Microsoft har vidtagit åtgärder och blockerat några av de phishing-sidor som används i kampanjen. Vissa skadliga e-postmeddelanden kan dock fortfarande ha nått inkorgar innan dessa sidor togs ner. Microsoft hindrade 4 miljarder dollar i bedrägeriförsök, avvisade 49 000 bedrägliga partnerskapsregistreringar och blockerade cirka 1,6 miljoner botregistreringsförsök per timme mellan april 2024 och april 2025, enligt I januari 2025 kräver produktteam att utföra bedömningar av bedrägeriförebyggande och implementera bedrägerikontroller som en del av deras designprocess som noterats i deras blogginlägg.
Utöver denna specifika kampanj, förblir användningen av phishing för att få referenser en vanlig hotvektor. Tidigare i år observerades en separat massfiskattack att fånga Microsoft ADFS-inloggningsportaler för att kapa e-postkonton för företag, vilket visade att Microsoft-autentiseringssystem pågår mål.
Den kampanjen fångade också referenser och MFA-koder i realtid, och belyser sårbarheten för federerade autentiseringssystem som ADFS. Övergången mot phishing-baserad referensstöld är i linje med en bredare trend i moderna cyberattacker.
Det bredare cybersecurity-landskapet visar angripare som alltmer förlitar sig på legitimt molninfrastruktur för att vara värd för phishing-sidor som hittades i en Fortra-rapport och hävstångsartade konstgjorda intelligens för att förbättra sina attacker. Kvaliteten och personaliseringen av bedrägliga e-postmeddelanden enligt en Netskope-analys. Statsponserade hackningsgrupper använder också AI för att förfina cyberoperationer, inklusive phishing och rekognosering, även om AI ännu inte har skapat grundläggande nya attackmetoder.
Ett annat nyligen exempel på angripare som utnyttjar legitima system för phishing involverar spoofing Google-e-postsystem genom att återanvända giltiga DKIM-underskrifter. Den här tekniken manipulerar Googles OAUTH-ram för att skicka e-postmeddelanden som verkade autentiskt signerade och kringgå DMARC-kontroller. Det understryker en bredare trend där angripare missbrukar pålitliga plattformar och protokoll för att ge legitimitet till sina bedrägerier.
För att stärka försvaret mot identitetsbaserade phishing-attacker, rekommenderar cybersecurity-experter en flerskiktad strategi. För organisationer som fortfarande använder ADF: er rekommenderas övergången till Microsoft Entra ID, eftersom det erbjuder mer phishing-resistenta autentiseringsmetoder.
Implementering Avancerade e-post Security Set Säkerheter
