Эксперты обнаружили новый метод похищения денег при помощи AiTM-атак на аккаунты в Microsoft 365
Специалисты в области информационной безопасности из компании Mitiga обнаружили новую кампанию по компрометации деловой электронной почты, которая сочетает целевой фишинг и Adversary-in-The-Middle (AiTM) для взлома учётных записей Microsoft 365 руководителей корпораций, включая защищённые многофакторной аутентификацией.
После получения доступа к аккаунтам высокопоставленных сотрудников, к примеру, генерального или финансового директора, злоумышленники получают возможность отслеживать сообщения и отвечать на электронные письма в целях перенаправления крупной транзакции на банковские счета мошенников.
Это метод типичен для компрометации корпоративной электронной почты, когда злоумышленники в последний момент отправляют письмо со взломанного аккаунта с просьбой изменить банковский счёт.
По словам представителей Mitiga, данная практика широко распространена и нацелена на переводы на сумму до нескольких миллионов долларов каждая.
Фишинговые электронные письма, рассылаемые в ходе атак, уведомляют жертв, что целевой корпоративный банковский счёт был заморожен в связи с финансовым аудитом. Злоумышленники предоставляют новые инструкции по оплате, отсылая к счёту предполагаемой дочерней компании. Однако данный счёт принадлежит мошенникам.
Для обмана хакеры перехватывают переписку и используют тайпсквоттинг.
Атака начинается с фишингового электронного письма, имитирующего внешний вид соглашения с платформы DocuSign, которую широко используют в корпоративной среде. Неправильные настройки безопасности помогают хакерам попасть в папку со входящими электронными сообщениями.
При просмотре документа жертву перенаправляют на страницу с поддельным доменом, где получателя просят войти в домен Windows. Специалисты Mitiga полагают, что злоумышленники применяют фишинговый фреймворк evilginx2 для проведения AiTM-атак.
Жертвы мошеннической схемы сами вводят учётные данные, что решает вопрос с многофакторной аутентификацией, а прокси-сервер похищает cookie-файл сеанса. Эти данные мошенники загружают в свои браузеры, чтобы автоматически входить в аккаунты жертв.
Злоумышленники использовали данный метод, чтобы получить доступ к Exchange и SharePoint, сообщают исследователи. Злоумышленники, вероятно, читали сообщения в ожидании момента для перенаправления платежей на банковские счета мошенников путём внедрения собственных писем.
