I en rapport som publicerades på torsdagen, Microsoft avslöjade att bank- och finansorganisationer är måltavlor för en ny nätfiskeattack och flerstegs e-postkompromiss för företag (BEC), känd som adversary-in-the-middle (AitM).
Teknikjätten angav att attacken kom från en komprometterad betrodd leverantör och Det utvecklades till en serie AitM-attacker och BEC-aktiviteter som drabbade flera organisationer.
Microsoft upptäcker en kraftfull attack mot banker
Microsoft, som noggrant övervakar denna grupp under det framväxande namnet Storm-1167Han framhöll gruppens användning av en indirekt ombudsman för att utföra attacken.
Detta gjorde det möjligt för angriparna flexibelt anpassa nätfiskesidor till dina mål och utföra stöld av sessionscookiesDetta understryker den fortsatta sofistikeringen av AitM-attacker.
Tillvägagångssättet för denna attack skiljer sig från andra AitM-kampanjer, där lockbeteendesidor fungerar som en omvänd proxy för att samla in inloggningsuppgifter och lösenord tidsbaserade engångsinloggningar (TOTP) som anges av offer.
Angriparen presenterade målen för en webbplats som imiterade inloggningssidan för målapplikationen, som i traditionella nätfiskeattacker, värd på en molntjänst.
Microsoft
"Inloggningssidan innehöll resurser som laddats från en server som kontrollerades av angriparen," som initierade en autentiseringssession med programmets autentiseringsleverantör "riktar in sig på offrets inloggningsuppgifter", tillade Microsoft.
Attackkedjorna börjar med ett nätfiskemejl som omdirigerar offret till en falsk Microsoft-inloggningssida, där du blir ombedd att ange dina inloggningsuppgifter och TOTP:er.
De insamlade lösenorden och sessionscookies används för att utge sig för att vara användare och få obehörig åtkomst till e-postinkorgen via en replay-attack. Sedan, Denna åtkomst används för att få tag på känsliga e-postmeddelanden och utföra en BEC-attack..
Dessutom, En ny tvåfaktorsautentiseringsmetod baserad på textmeddelanden har lagts till till målkontot för att logga in med de stulna inloggningsuppgifterna utan att dra till sig uppmärksamhet.
En massiv attack med 16 000 e-postmeddelanden
I den händelse som analyserats av Microsoft rapporteras det att angriparen initierade en massiv spamkampanj, skickar mer än 16 000 e-postmeddelanden till den komprometterade användarens kontakter, både inom och utanför organisationen, såväl som till distributionslistor.
Det observerades också att motståndaren tog Åtgärder för att minimera upptäckt och etablera beständighet vid besvarande av inkommande e-postmeddelanden och sedan vidta åtgärder för att ta bort dem från brevlådan.
I slutändan är det mottagarna av Nätfiskemejl är målet för en andra AitM-attack för att stjäla dina inloggningsuppgifter och utlösa ytterligare en nätfiskekampanj från e-postinkorgen hos en av användarna vars konto hackades till följd av AitM-attacken.
"Denna attack visar komplexiteten hos AitM- och BEC-hot, som missbrukar förtroendeförhållanden mellan leverantörer"Tjänsteleverantörer och andra associerade organisationer i syfte att begå ekonomiskt bedrägeri", tillade företaget.
Upptäckten kommer mindre än en månad senare Microsoft varnade för en ökning av BEC-attacker och de ständigt föränderliga taktiker som används av cyberbrottslingar, inklusive användningen av plattformar som BulletProftLink för att skapa storskaliga skadliga e-postkampanjer.
En annan taktik Detta innebär användning av IP-adresser (Internet Protocol) för bostäder så att attackkampanjerna verkar genereras lokalt, förklarade teknikjätten.
BEC-hotaktörer köper IP-adresser från IP-tjänster för bostäder som matchar offrets plats, och skapar därmed IP-proxyservrar för bostäder som gör det möjligt för cyberbrottslingar att dölja sitt ursprung.
Redmond.
Kommentarerna är stängda.