Фишинговые атаки на Microsoft и Outlook посредством хранилища BLOB-объектов Microsoft Azure

Фишинговые атаки на Microsoft и Outlook посредством хранилища BLOB-объектов Microsoft Azure

Исследователи обнаружили две крупные фишинговые кампании, которые используют BLOB-объект Microsoft Azure для кражи данных из учетных записей Outlook и Microsoft.

Обе кампании используют реально выглядящие целевые страницы, которые используют SSL-сертификаты и домен windows.net, чтобы казаться аутентичными.

Первое фишинговое электронное письмо обращается к получателям с просьбой войти в свою учетную запись Office 365 для обновления информации.

В сообщениях электронной почты содержалось сообщение «Требуется действие: (адрес электронной почты) устарел — повторите проверку сейчас !!» в соответствующих полях.

В тот момент, когда пользователь нажимает на ссылку, указанную в письме, он попадает на целевую страницу, которая подделывает себя как Outlook Web App организации.

Эта целевая страница — то, что делает основную задачу кражи учетных данных пользователя.

Процесс привлечения пользователя начинается с сервиса рабочего места Facebook и заканчивается переходом пользователя на целевую страницу Microsoft.

Это может быть либо единый подход, либо смешанная кампания по привлечению жертв.

Учетная запись Microsoft, к которой привлекаются пользователи, выглядит вполне законно, поскольку использует ту же форму и ту же информацию, что и в этом отношении.

Обе целевые страницы используют хранилище Azure, чтобы они выглядели убедительными и, насколько это возможно, законными.

Все, что делает Microsoft Azure, — это добавляет легитимности целевым страницам, используемым фишинг-минусами для нацеливания на службы Microsoft.

URL-адреса хранилища BLOB-объектов Azure используют домен windows.net, что делает их вполне законными.

Одна из фишинговых ссылок, которая больше не используется, имела URL-адрес   https://1drive6e1lj8tcmteh5m.z6.web.core.windows.net/, и доменное имя, похоже, помогло.

Кроме того, каждый URL-адрес хранилища BLOB-объектов Azure использует подстановочный SSL-сертификат Microsoft, в результате чего каждая целевая страница получает «символ блокировки».

Это будет свидетельствовать о наличии сертификата Microsoft каждый раз, когда пользователь будет пытаться щелкнуть по сертификату, чтобы проверить, кто подписан, что делает весь обман более правдоподобным.

Чтобы избежать такой фишинг-атаки, необходимо иметь в виду, что в качестве исходных доменных имен исходные формы входа в систему от Outlook и Microsoft должны иметь адрес outlook.com, live.com и Microsoft.com.

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только