Поддельные результаты поиска по «Office 365» крадут зарплаты сотрудников
Финансово мотивированная хакерская группа атакует канадских сотрудников с помощью изощрённой кампании, целью которой является скрытое перенаправление их зарплатных выплат на банковские счета, контролируемые злоумышленниками, как обнаружили исследователи Microsoft.
Отравление поисковой выдачи и вредоносная реклама + фишинг + атака "человек посередине"
Группа, которую Microsoft отслеживает под названием Storm-2755, начинает с отравления результатов поисковых систем и размещения вредоносной рекламы по общим запросам, таким как "Office 365", или даже по распространённым опечаткам вроде "Office 265".
Жертвы, которые переходят по ссылкам, попадают на убедительную, но поддельную страницу входа в Microsoft 365. Эта страница не только похищает их учётные данные, но и в реальном времени проксирует весь процесс аутентификации, перехватывая токен сессии, выдаваемый после входа.
"Storm-2755 использовала версию 1.7.9 HTTP-клиента Axios для передачи аутентификационных токенов в инфраструктуру клиента, что эффективно обходило MFA, не устойчивую к фишингу, и сохраняло доступ без необходимости повторных входов. Этот механизм повтора позволил Storm-2755 поддерживать эти активные сессии и проксировать легитимные действия пользователей, фактически осуществляя атаку 'человек посередине'", — пояснили специалисты Microsoft по реагированию на инциденты.
Для большинства жертв злоумышленники просто сохраняли этот скрытый фоновый доступ. Однако для меньшего числа учётных записей они также изменяли пароль жертвы и настройки многофакторной аутентификации. Таким образом, даже после истечения срока действия или отзыва первоначально украденного токена они всё ещё "владели" учётной записью.
Истинная цель кампании
Попав в почтовый ящик жертвы, злоумышленники ищут в скомпрометированной переписке упоминания о зарплате, отделе кадров и финансах, а затем отправляют письмо с реального адреса сотрудника в HR-отдел организации с запросом на изменение "прямого депозита".
Поскольку письмо приходит с настоящего адреса сотрудника, у отдела кадров нет причин для подозрений. Если они выполняют запрос и оформляют изменение, следующая зарплата сотрудника уйдёт на банковский счёт злоумышленников, а не жертвы.
Перед отправкой письма в HR или финансовый отдел атакующие создают правило для входящих писем, которое автоматически перемещает любые ответы от отдела кадров, содержащие слова вроде "банк" или "прямой депозит", в скрытую папку. Это делается для того, чтобы жертва их не увидела и не подняла тревогу.
В случаях, когда группировке Storm-2755 не удавалось изменить платежные данные через подмену личности сотрудников и социальную инженерию в отношении HR-специалистов, наблюдался переход к прямому взаимодействию и ручному изменению настроек облачных HR-платформ, таких как Workday, — добавили в Microsoft.
В одной из успешных атак Storm-2755 вручную вошла в Workday от имени жертвы, чтобы обновить банковские реквизиты, что привело к прямой финансовой потере для этого сотрудника.
Как противостоять атакам «платежных пиратов»
Данная кампания была нацелена на сотрудников в Канаде, однако аналогичные операции постоянно проводятся для работников других стран и/или компаний из определенных экономических секторов.
Microsoft рекомендует использовать FIDO2/WebAuthn-ключи в качестве второго фактора аутентификации, поскольку они привязывают процесс проверки к легитимному сайту и не могут быть перехвачены через прокси-сервер AiTM, в отличие от традиционных push-уведомлений или одноразовых кодов.
Кроме того, организациям следует отслеживать появление пользовательского агента Axios в журналах входа, контролировать неинтерактивные входы в OfficeHome, повторяющиеся с интервалом около 30 минут, и настраивать оповещения о создании новых правил в почтовых ящиках, фильтрующих сообщения по финансовым ключевым словам.
Командам по кадрам и расчету заработной платы также следует применять дополнительную проверку вне системы (например, телефонный звонок или личное подтверждение) для любых запросов на изменение прямого депозита.
Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!