Хакерский «Office 365» за $365: 94 страны стали жертвами «народного» фишинг-сервиса RaccoonO365

В Нигерии задержали человека, которого считают одним из разработчиков фишингового набора RaccoonO365 — сервиса по подписке, с помощью которого злоумышленники массово создавали поддельные страницы входа в Microsoft и выманивали у жертв логины и пароли. Полиция действовала после наводок от Microsoft, ФБР и Секретной службы США, и в итоге задержала троих человек.

По данным полиции, к самой операции RaccoonO365 напрямую относится только один из задержанных — Окитипи Сэмюэл. Его называют ключевым разработчиком фишинговой инфраструктуры RaccoonO365. Как утверждает представитель полиции, Сэмюэл вёл Telegram-канал, через который продавались фишинговые ссылки за криптовалюту, а также размещал поддельные порталы входа на Cloudflare, используя украденные или полученные мошенническим путём почтовые учётные данные. В ходе обысков правоохранители изъяли ноутбуки, мобильные устройства и другую цифровую технику, которую связывают со схемой.

RaccoonO365 позиционировался как «фишинг по подписке»: киберпреступники платили около $365 в месяц и получали инструменты, позволяющие под брендингом Microsoft собирать рассылки, делать фальшивые письма, вложения и сайты, заманивая жертв на поддельные страницы входа в Microsoft Office 365. Сервисом пользовались для фишинговых атак на корпоративные, финансовые и образовательные организации, а создатели набора обещали даже методы обхода многофакторной аутентификации, чтобы не просто украсть пароль, но и закрепиться в чужой системе надолго.

Типичная цепочка выглядела так: письмо приходило с вложением, в котором была ссылка или QR-код. Жертва переходила на страницу с CAPTCHA, а после её прохождения попадала на фальшивую страницу входа в Microsoft O365 — там и происходила кража учётных данных. Нигерийская полиция заявляет, что такие рассылки открывали путь к компрометации деловой переписки, утечкам данных и финансовому ущербу.

Ещё в сентябре Microsoft добилась судебного решения, позволившего изъять 338 сайтов, связанных с RaccoonO365. Тогда же Cloudflare сообщила, что отключила сотни доменов и аккаунтов, которые использовались этой группой, а в кампаниях, замеченных Cloudflare, мошенники подделывали не только Microsoft, но и бренды вроде Adobe, Maersk и DocuSign. По данным Microsoft Digital Crimes Unit, наборы RaccoonO365 применялись для кражи как минимум 5000 учётных записей Microsoft в 94 странах.

При этом Microsoft ранее называла нигерийца Джошуа Огундепе главным двигателем RaccoonO365: якобы он написал большую часть кода, а часть функций делегировал сообщникам — от разработки и продаж до поддержки «клиентов» среди киберпреступников.

Microsoft направила в международные правоохранительные органы материалы для уголовного преследования Огундепе, но где он находится, неизвестно. Компания также утверждала, что участники схемы заработали не менее 100 тысяч долларов, а в Telegram-канале, через который продвигался сервис, состояло около 850 человек.