Hôm thứ Ba, Microsoft đã tiết lộ rằng một chiến dịch lừa đảo quy mô lớn đã nhắm mục tiêu đến hơn 10.000 tổ chức kể từ tháng 9 năm 2021 bằng cách tấn công quy trình xác thực của Office 365 ngay cả trên các tài khoản được bảo mật bằng xác thực đa yếu tố (MFA).
“Những kẻ tấn công sau đó đã sử dụng thông tin đăng nhập và cookie phiên bị đánh cắp để truy cập vào hộp thư của người dùng bị ảnh hưởng và thực hiện các chiến dịch xâm nhập email doanh nghiệp (BEC) tiếp theo chống lại các mục tiêu khác”, nhóm an ninh mạng của công ty báo cáo.
Các cuộc xâm nhập dẫn đến việc thiết lập các trang web lừa đảo đối thủ ở giữa (AitM), trong đó kẻ thù triển khai một máy chủ proxy giữa nạn nhân tiềm năng và trang web được nhắm mục tiêu để người nhận email lừa đảo được chuyển hướng đến các trang đích giống như được thiết kế để thu thập thông tin xác thực và thông tin MFA.
“Trang lừa đảo có hai phiên Bảo mật tầng truyền tải (TLS) khác nhau – một phiên với mục tiêu và phiên khác với trang web thực tế mà mục tiêu muốn truy cập,” công ty giải thích.
“Các phiên này có nghĩa là trang lừa đảo trên thực tế hoạt động như một tác nhân AitM, chặn toàn bộ quá trình xác thực và trích xuất dữ liệu có giá trị từ các yêu cầu HTTP như mật khẩu và quan trọng hơn là cookie phiên.”
Được trang bị thông tin này, những kẻ tấn công đã đưa cookie vào trình duyệt của chúng để phá vỡ quá trình xác thực, ngay cả trong các tình huống mà nạn nhân đã kích hoạt bảo vệ MFA.
Chiến dịch lừa đảo do Microsoft phát hiện đã được dàn dựng để tấn công người dùng Office 365 bằng cách giả mạo trang xác thực trực tuyến của Office, với các tác nhân sử dụng bộ công cụ lừa đảo Evilginx2 để thực hiện các cuộc tấn công aitm.
Điều này liên quan đến việc gửi các email có chứa các chiêu dụ theo chủ đề tin nhắn thoại được đánh dấu là có mức độ quan trọng cao, lừa người nhận mở các tệp đính kèm HTML có chứa phần mềm độc hại chuyển hướng đến các trang đích đánh cắp thông tin xác thực.
Để hoàn thành mưu mẹo, người dùng cuối cùng đã được chuyển hướng đến văn phòng hợp pháp[.]com sau khi xác thực trang web, nhưng không phải trước khi những kẻ tấn công tận dụng phương pháp AitM nói trên để hút cookie phiên và giành quyền kiểm soát tài khoản bị xâm phạm.
Các cuộc tấn công không kết thúc ở đó, vì những kẻ đe dọa đã lạm dụng quyền truy cập hộp thư của họ để thực hiện gian lận thanh toán bằng cách sử dụng một kỹ thuật được gọi là chiếm quyền điều khiển chuỗi email cho các bên lừa đảo ở đầu bên kia của cuộc trò chuyện để chuyển tiền bất hợp pháp vào các tài khoản dưới sự kiểm soát của họ.
Để che giấu thêm thông tin liên lạc của họ với mục tiêu lừa đảo, những kẻ đe dọa cũng tạo ra các quy tắc hộp thư tự động chuyển mọi email đến có chứa tên miền liên quan vào thư mục “Lưu trữ” và đánh dấu là “đã đọc”.
“Phải mất ít thời gian 5 phút sau khi đánh cắp thông tin đăng nhập và phiên để kẻ tấn công thực hiện hành vi gian lận thanh toán tiếp theo của chúng”, Microsoft lưu ý.
Những kẻ tấn công được cho là đã sử dụng Outlook Web Access (OWA) trên trình duyệt Chrome để thực hiện các hoạt động gian lận, đồng thời xóa khỏi thư mục Hộp thư đến của tài khoản email lừa đảo ban đầu cũng như các liên lạc tiếp theo với mục tiêu từ cả Kho lưu trữ và các thư mục Mục đã Gửi để xóa dấu vết.
Các nhà nghiên cứu cho biết: “Chiến dịch lừa đảo AiTM này là một ví dụ khác về cách các mối đe dọa tiếp tục phát triển để phản ứng với các biện pháp bảo mật và chính sách mà các tổ chức đưa ra để tự vệ trước các cuộc tấn công tiềm ẩn”.
“Mặc dù lừa đảo AiTM cố gắng vượt qua MFA, nhưng điều quan trọng cần nhấn mạnh là việc triển khai MFA vẫn là một trụ cột thiết yếu trong bảo mật danh tính. MFA vẫn rất hiệu quả trong việc ngăn chặn nhiều mối đe dọa; tính hiệu quả của nó là lý do tại sao lừa đảo AiTM xuất hiện ngay từ đầu.”
Phát hiện này được đưa ra khi một nhóm các nhà nghiên cứu từ Đại học Stony Brook và Palo Alto Networks đã chứng minh vào cuối năm ngoái một kỹ thuật lấy dấu vân tay mới giúp xác định bộ công cụ lừa đảo AitM trong tự nhiên bằng cách sử dụng một công cụ có tên là PHOCA.
.