Gefälschte Voicemail-Kampagne zielt auf Microsoft 365-Anmeldeinformationen ab

Die Kampagne ist noch im Gange, und der dahinter stehende Bedrohungsakteur verwendet gefälschte Voicemail-Benachrichtigungen, um die Opfer zum Öffnen eines bösartigen HTML-Anhangs zu verleiten. Laut den Forschern des Cloud-Sicherheitsunternehmens ZScaler hat die kürzlich entdeckte Kampagne die gleichen Taktiken, Techniken und Verfahren (TTPs) wie eine andere Kampagne, die Mitte 2020 analysiert wurde.

Die Bedrohungsakteure nutzen E-Mail-Dienste in Japan, um ihre Nachrichten weiterzuleiten und die Absenderadresse zu fälschen, damit es so aussieht, als kämen die E-Mails von einer Adresse, die der Zielorganisation gehört. Die E-Mail hat einen HTML-Anhang, der ein Musiknotenzeichen in der Namensgebung verwendet, um den Anschein zu erwecken, dass es sich bei der Datei um einen Soundclip handelt. In Wirklichkeit enthält die Datei verschleierten JavaScript-Code, der das Opfer auf eine Phishing-Website führt.

Das URL-Format folgt einem Assemblierungssystem, das die Domäne der Zielorganisation berücksichtigt, um den Anschein zu erwecken, dass es sich bei der Website um eine legitime Subdomäne handelt. Die Umleitung führt das Opfer zunächst zu einer CAPTCHA-Prüfung, die darauf ausgelegt ist, Anti-Phishing-Tools zu umgehen und den Opfern die Illusion der Legitimität zu vermitteln. Die CAPTCHA-Prüfung wurde auch in einer Kampagne aus dem Jahr 2020 verwendet, die von den ThreatLabZ-Forschern von ZScaler analysiert wurde, und sie ist nach wie vor ein effektiver Zwischenschritt, der die Erfolgsquote von Phishing erhöht. Sobald die Benutzer diesen Schritt überwunden haben, werden sie auf eine echt aussehende Phishing-Seite umgeleitet, die Microsoft Office 365-Konten stiehlt.