Злоумышленники организовали масштабную фишинговую кампанию, в рамках которой они используют облачные сервисы Oracle и Amazon для кражи учетных данных пользователей Office 365 в США и Австралии. Вредоносная кампания действует более полугода и использует сеть легитимных web-сайтов, которые были скомпрометированы для работы в качестве прокси-цепочки.

Операторы обманывают пользователей поддельными уведомлениями о голосовых сообщениях и приглашениями Zoom, которые в конечном итоге перенаправляют жертву на фишинговую страницу для кражи учетных данных.

Как сообщили исследователи кибербезопасности из компании Mitiga изданию Bleeping Computer, хотя приманка является достаточно простой, кампания отличается изощренностью, поскольку преступники используют легитимные сервисы и web-сайты. Преступники отправляют фишинговые сообщения со скомпрометированных учетных записей электронной почты и используют Amazon Web Services (AWS) и Oracle Cloud в цепочке перенаправления. Жертвы перенаправляются на поддельную страницу авторизации Office 365, размещенную в основном в сервисе Oracle Cloud Computing.

В общей сложности эксперты зафиксировали более 40 взломанных web-сайтов, которые были частью данной фишинговой кампании Office 365.

Эксперты провели анализ HTML-кода поддельных страниц Office 365 и сообщили, что инфраструктура является частью бизнес-схемы «фишинг-как-услуга». Доказательством этого являются прокомментированные инструкции, такие как «//Установить ссылку здесь», и небольшие различия в переменных, именах функций или взломанных сайтах, получивших украденные учетные данные. Это указывает то, что несколько сторон используют одну и ту же инфраструктуру.

Как выяснили специалисты из проанализированных адресов электронной почты, целями фишинговой кампании являются преимущественно руководители высшего звена малых и средних предприятий, а также крупных финансовых учреждений.

Источник: securitylab.ru