Эксперты по кибербезопасности предупреждают о новой широко распространенной кампании компрометации деловой электронной почты (BEC), которая направлена на перенаправление крупных денежных транзакций на банковские счета, принадлежащие злоумышленникам.
Идея проста в теории: злоумышленники сначала скомпрометируют корпоративную электронную почту. (откроется в новой вкладке) учетную запись с помощью фишинга. Затем они попадают в папку «Входящие» и прячутся там, отслеживая различные цепочки и потоки электронной почты, пока не найдут ту, в которой планируется банковский перевод. Затем, когда планирование завершено, и непосредственно перед тем, как жертва отправит средства, злоумышленник ответит на цепочку электронных писем с просьбой отправить средства в другое место, заявив, что первоначальный банковский счет был заморожен из-за финансовой проверки.
Сообщается, что злоумышленники крадут «несколько миллионов долларов» за каждый инцидент, а также используют типосквотированные домены, чтобы еще больше обмануть жертв.
Злоупотребление DocuSign
Кампанию заметили исследователи из Mitiga, расследовавшие случай реагирования на инциденты.
Все начинается с фишинговой атаки на рабочую почту жертвы. Митига обнаружил, что это электронное письмо выглядит так, как будто оно исходит от DocuSign, и что оно обычно содержит кнопку с надписью «Просмотреть документ». Цели, которые нажимают кнопку, будут перенаправлены на фишинговую страницу, имитирующую страницу входа в домен Windows. Затем с помощью инструмента evilginx2 злоумышленники могут украсть файлы cookie сеанса и, таким образом, обойти многофакторную аутентификацию (MFA).
Кража файлов cookie сеанса для обхода MFA не является новой практикой, и компании начали противодействовать этому, сокращая продолжительность сеансов. Это безопаснее, но не так удобно, так как пользователям приходится чаще проходить повторную аутентификацию на своих конечных точках. (откроется в новой вкладке). Чтобы решить эту проблему, злоумышленники начали регистрировать дополнительные устройства MFA в скомпрометированных учетных записях, поскольку этот шаг не вызывает никаких уведомлений.
Однако исследователи пришли к выводу, что изменения MFA в учетных записях пользователей можно отслеживать с помощью журналов аудита Azure Active Directory.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
