Уведомления Microsoft Voicemail использовались в фишинг-атаках

Исследователи из компании Avanan, занимающейся вопросами безопасности электронной почты, обнаружили новую фишинговую кампанию. Злоумышленники с помощью уведомлений голосовой почты Microsoft Voicemail пытаются заставить жертву открыть вложения HTML, перенаправляющие на фишинговые web-страницы.

По словам исследователей, операторы кампании рассылали потенциальным жертвам электронные письма, замаскированные под оповещения голосовой почты Microsoft Office 365. Сообщения в письмах предлагали жертве открыть вложение для прослушивания голосового сообщения. Для большей правдоподобности в письме также отображался номер звонившего и длина аудиозаписи.

Жертвы перенаправлялись на фишинговые страницы с помощью метаэлемента HTML со значением атрибута http-equiv «Обновить», а контента — «1». В отличие от ранее обнаруженных кампаний, использующих мета-обновления атак через промежуточный URL-адрес, в рамках данных атак используется само вложение HTML для запуска перенаправления. Исследователи назвали такой метод «MetaMorph Obfuscation».

Злоумышленники создали поддельную страницу «Система управления голосовой почтой», которая открывает окно авторизации «Проверка подлинности пользователя голосовой почты». Таким образом жертвы вводили адрес электронной почты и пароль их учетной записи Microsoft, которые отправлялись на сервер преступников.

Positive Technologies проводит опрос по APT атакам. Предлагаем вам анонимно ответить на несколько вопросов: https://surveys.hotjar.com/s?siteId=1095096&surveyId=139755 .