Как файлообменник встал на сторону хакеров?
Компания масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали электронные письма с ссылкой на файлообменник
Ссылка вела жертв к -документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа . Сервер действовал как , похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.
Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.
После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.
Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.
Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
Подробнее:
Компания масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали электронные письма с ссылкой на файлообменник
Ссылка вела жертв к -документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа . Сервер действовал как , похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.
Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.
После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.
Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.
Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
Подробнее:
