Przestępcy korzystają z fałszywych Google reCAPTCHA aby wykradać dane logowania do konta Microsoft 365

źródło: https://xopero.com/blog/pl/2021/03/15/malware-z0miner-ransomware-dearcry-i-exploity-proxylogon-phishing-na-recaptcha/#tekst-2

W tej nowej kampanii maile phishingowe udają automatyczne komunikaty dostarczane przez wykorzystywane przez ofiary narzędzia do komunikacji.

Ofiary otrzymują na firmową skrzynkę wiadomość, że numer “(503) ***-6719 w dniu 20 stycznia pozostawił wiadomość głosową, o długości 35 sekund”. Do wiadomości jest załączany plik “vmail-219.HTM”. Niektóre osoby miały do czynienia jednak z odmiennym komunikatem.  W tym drugim wariancie ofiara ma zweryfikować ważny dokument (REVIEW SECURE DOCUMENT) – czyli klasyczny zabieg socjotechniczny.

Obraz: Zscaler

W momencie gdy użytkownik Microsoft 365 klika załącznik, w przeglądarce ładuje się klasyczny widok z Google reCAPTCHA – tyle, że są one oczywiście fałszywe.

Google reCAPTCHA to popularna usługa, która ma za zadanie zabezpieczać strony internetowe m.in. przez spamerskimi botami. Graficzna łamigłówka polegającą na wskazaniu zdjęć zawierających rower lub hydrant to nic innego jak nowoczesna odmiana testu Turinga.

Po przejściu testu, ofiara zostaje przekierowana na stronę phishingową, gdzie ma wpisać swoje dane dostępowe do konta Microsoft 365. Przestępcy odrobili pracę domową i przygotowali formularze tak by były one zgodne z oryginalnym profilem atakowanych organizacji. Na tym etapie ofiary są proszone o wprowadzenie danych uwierzytelniających do systemu. Kiedy operacja kończy się sukcesem zostają przekierowani do widoku, gdzie mogą osłuchać otrzymaną wcześniej wiadomość głosową. Jest to interesujący zabieg, ponieważ zwykle w ostatnim kroku zaatakowany użytkownik trafia na właściwą stronę logowania do usługi.

Kto jest celem przestępców?

Tym razem atakujący celują w Wicedyrektorów oraz Dyrektorów Zarządzających, którzy mają dostęp do znacznie bardziej atrakcyjnych danych. Według analityków, w ciągu ostatnich trzech miesięcy wysłano co najmniej 2,5 tysiąca takich wiadomości – głównie do pracowników sektora bankowego oraz IT.

źródło: https://threatpost.com/fake-ad-blocker-cryptominer-ransomware/164669/
              https://xopero.com/blog/pl/2021/03/15/malware-z0miner-ransomware-dearcry-i-exploity-proxylogon-phishing-    
              na-recaptcha/#tekst-2