به گزارش پایگاه خبری بانکداری الکترونیک ،مهاجمان از اعتبارنامهها و کوکیهای به سرقت رفته برای دسترسی به صندوقهای پستی کاربران آسیبدیده و اجرای کمپینهای به خطر افتادن ایمیل تجاری (BEC) استفاده کردند. به گفته مایکروسافت ، کمپین فیشینگ که از سایتهای مهاجم در وسط (AiTM) استفاده میکرد، از سپتامبر 2021 بیش از 10000 سازمان را هدف قرار داد.
“به نظر میرسد این اجراها به یکدیگر مرتبط هستند و با جعل صفحه احراز هویت آنلاین آفیس، کاربران Office 365 را هدف قرار میدهند.”
در یک کمپین فیشینگ AiTM، یک عامل تهدید تلاش میکند تا کوکی جلسه کاربر را بهدست آورد – برای سرور وب که کاربر احراز هویت شده است – تا بتواند از کل فرآیند احراز هویت رد شود و از طرف کاربر عمل کند.
مهاجم یک وب سرور را مستقر میکند که بستههای HTTP را از کاربر بازدیدکننده از سایت فیشینگ به سرور هدفی که مهاجم میخواهد جعل هویت کند، پراکسی میکند و برعکس. به این ترتیب، سایت فیشینگ از نظر ظاهری با وب سایت اصلی یکسان است. مهاجم همچنین نیازی به ایجاد سایت فیشینگ خود مانند روشی که در کمپینهای فیشینگ معمولی انجام میشود، ندارد. مایکروسافت توضیح داد که URL تنها تفاوت آشکار بین سایت فیشینگ و واقعی است.
هنگامی که مهاجم اعتبارنامه ها را رهگیری می کند و از طرف کاربر احراز هویت می شود، می تواند فعالیت های بعدی مانند جعل در پرداخت را از داخل سازمان انجام دهد.
پرداخت به صورت دستی انجام شده است. مهاجم هر چند ساعت یک بار به ایمیلهای مربوط به امور مالی دسترسی پیدا میکرد و ایمیل اصلی فیشینگ را از صندوق ورودی حذف میکرد تا ردپای آنها را پنهان کند.
علاوه بر این، برای دور ماندن از اسکن های امنیتی، مهاجم یک قانون صندوق ورودی ایجاد کرد تا پاسخهای آینده را از هدف کلاهبرداری پنهان کند.
درست پس از تنظیم قانون، مهاجم اقدام به پاسخ دادن به رشتههای ایمیل در حال انجام مربوط به پرداختها و صورتحسابها بین هدف و کارمندان سایر سازمانها کرد. به گفته مایکروسافت ، مهاجم سپس پاسخهای خود را از پوشههای موارد ارسال شده(Sent) و موارد حذف شده(Deleted) حذف کرد.