کمیته رکن چهارم – رصدهای صورت گرفته توسط تیم های امنیتی نشان می دهد اخیرا یک کمپین فیشینگ جدید با سوء استفاده از جعل هویت اعلان های مایکروسافت Team اقدام به سرقت اعتبارات ویندوزی و رمزعبور کاربران می کند. با توجه به شرایط همه گیر شدن COVID-19 و همچنین فرآیند دور کاری سازمان ها با کارمندان خود، این قبیل موارد در سرتاسر دنیا برای مهاجمان سایبری تبدیل به فرصت مناسبی شده تا کمپین های خود را راه اندازی و بهره برداری کنند.
اعلان های Fake مایکروسافت Team
در این مدل حملات مهاجمان ایمیل هایی را شبیه به ایمیل های مایکروسافت طراحی می کنند و برای کارمندان ارسال می کنند (مخصوصا واحد IT). از دید کاربران این گونه به نظر می رسد که ایمیل های دریافت شده اعلان های خودکاری هستند که مایکروسافت Team ارسال می کند.
هنگامی که کاربر بر روی ایمیل کلیک کند، توسط یک لینک جعلی به صفحات وب واقعی مایکروسافت (طراحی شده توسط مهاجمان) هدایت می شود. طبق گفته محققان امنیتی “ایمیل فرستنده از یک دامنه اخیراً ثبت شده با نام” sharepointonline-irs.com “نشأت می گیرد، که با مایکروسافت یا IRS مرتبط نیست.”
محققان امنیتی دو مورد از این حملات را مشاهده کردند که سعی در سرقت اعتبارنامه کارمندان داشتند:
۱٫در حملات نوع اول، یک ایمیل حاوی لینک مخرب است که پس از کلیک بر روی آن از کاربران می خواهد با اکانت مایکروسافت team وارد شود. پس از کلیک روی تصویر مورد نظر که در شکل بالا مشاهده می کنید، کاربر به صفحه ورود جعلی Microsoft Office وارد می شود.
۲٫ در حملات نوع دوم از لینک یوتیوب بهره برداری می شود. کاربران پس از کلیک بر روی لینک مخرب چندین بار تغییر مسیر داده و به یک صفحه وب نهایی می رسند که صفحه login جعلی مایکروسافت می باشد.
اگر دریافت کننده این میل ها قربانی حملات شود، اعتبارهای ورودی آنها به خطر می افتد و ممکن است مهاجمان به سرویس های Microsoft Office 365 نیز دسترسی پیدا کنند. تا کنون بیش از ۵۰،۰۰۰ کارمند قربانی این حملات شده اند و اطلاعات ورود به سیستم آنها مورد هدف قرار گرفته است.
اخیراً گروه امنیتی مبتنی بر شکار تهدیدات با نام Group-IB گزارش کرده که ” مدیران ارشد زیادی از طریق حملات فیشینگ هدفمند هک شده اند، همچنین شواهدی در مورد ایجاد اکانت های ایمیل در شرکت های مستقر در آسیا دریافت کردند.”
هفته گذشته مایکروسافت آسیب پذیری subdomain takeover یا تصاحب زیردامنه را در تیم های مایکروسافت وصله کرد. کاربرانی که از نسخه تیم دسکتاپ یا مرورگر وب استفاده می کند می توانند وصله ها را دریافت کنند.
منبع: ایران سایبر
