Útočníci v 1. čtvrtletí 2021 zaslali 52 milionů škodlivých zpráv využívajících výhody úložišť Office 365, Azure, OneDrive, SharePoint, G-Suite a Firebase.
Aktéři hrozeb se během pandemie pokoušejí o rychlý přechod k cloudovým obchodním službám skrýváním se za všudypřítomné důvěryhodné služby od Microsoftu a Googlu, aby jejich phishingové podvody vypadaly legitimně. A funguje to.
Ve skutečnosti pouze v prvních třech měsících roku 2021 objevili výzkumníci 7 milionů škodlivých e-mailů odeslaných z Microsoft 365 a ohromujících 45 milionů odeslaných z infrastruktury Google, uvedl Proofpoint a dodal, že zločinci využili Office 365, Azure, OneDrive, SharePoint, G -Suite a Firebase úložiště pro odesílání phishingových e-mailů a hostování útoků.
„Objem škodlivých zpráv z těchto důvěryhodných cloudových služeb překročil v roce 2020 objem všech botnetů a důvěryhodná reputace těchto domén, včetně outlook.com a sharepoint.com, zvyšuje obtíže detekce pro obránce,“ uvedli vědci. „Toto vnímání autenticity je zásadní, protože e-mail nedávno získal svůj status nejlepšího vektoru pro ransomware; a aktéři hrozeb stále více využívají dodavatelský řetězec a ekosystém partnerů ke kompromitaci účtů, krádeži pověřovacích údajů a vysávání fondů.“
Protože porušení jednoho účtu by mohlo potenciálně poskytnout rozsáhlý přístup, společnost ProofPoint uvedla, že u 95 procent organizací byl útok zaměřen na kompromis cloudových účtů, a z nich více než polovina byla úspěšná. Navíc více než 30 procent těch organizací, které byly kompromitovány, „zažilo aktivitu po přístupu, včetně manipulace se soubory, přeposílání e-mailů a aktivity OAuth.“
Jakmile mají útočníci pověření, mohou se snadno pohybovat v řadě služeb a odcházet z nich a používat je k odesílání dalších přesvědčivých phishingových e-mailů.
Společnost Proofpoint poskytla několik příkladů kampaní schovávajících se za Microsoftem a Googlem, které se pokoušely podvádět uživatele, aby se vzdali svých informací nebo poskytovali malware.
Jedna zpráva používala adresu URL Microsoft SharePointu, která měla odkazovat na dokument s popisem pokynů COVID-19. Tým společnosti uvedl, že tato zpráva byla odeslána 5 000 uživatelům v odvětví dopravy, výroby a obchodních služeb.
Další poskytnutý příklad se pokusil použít název domény „onmicrosoft.com“ k doručení falešného e-mailu pro sběr pověření pro videokonference, který, jak vědci zjistili, že byl doručen přibližně 10 000 uživatelům.
Útočníci pomocí služby Gmail hostovali od března další kampaň, která doručila podvodnou zprávu o výhodách spolu s přílohou Microsoft Excel, která po povolení maker dodala bankovní trojan Trick, který ukradl pověření.
Další útok v únoru, který proběhl přes Gmail, se pokoušel přimět uživatele k přístupu ke zkomprimovaným dokumentům MS Word zadáním hesla. Po otevření byla povolena makra, která dodala ransomware Xorist.
Používání Gmailu a Microsoftu útočníky k propůjčení patiny legitimity jejich e-mailům je součástí širšího trendu: Aktéři hrozeb vytvářejí stále přesvědčivější návnady.
Zdroj: threatpost.com
Zdroj: IT SECURITY NETWORK NEWS
