Globalna kampania phishingowa. Cyberprzestępcy przejęli tysiące kont

4 maja br. Microsoft opublikował komunikat o zmasowanych atakach phishingowych zaobserwowanych przez zespół Microsoft Defender Research. W dniach 14–16 kwietnia cyberprzestępcom udało się uzyskać dostęp do kont ponad 35 tys. użytkowników w przeszło 13 tys. organizacji działających w 26 krajach, przy czym większość ofiar pochodziła ze Stanów Zjednoczonych (92%).

Zakrojona na tak szeroką skalę kampania kradzieży danych uwierzytelniających szczególnie dotknęła sektor opieki zdrowotnej i nauk przyrodniczych (19%), ale nie ominęła również sektora finansowego, który stanowił 18% wszystkich ataków.

Przestępcy wykorzystywali metodę Business Email Compromise (BEC), podszywając się pod dział prawny lub zarząd firmy i odwołując się w treści wiadomości do oficjalnych zasad organizacji.

Wyświetlane nazwy obejmowały między innymi: „Wewnętrzny kodeks postępowania regulacyjnego” lub „Raport dotyczący postępowania zespołu”, natomiast w tematach wiadomości pojawiały się sformułowania takie jak „Wewnętrzny rejestr spraw wszczętych na podstawie polityki postępowania” lub „Przypomnienie: pracodawca wszczął postępowanie w sprawie naruszenia przepisów”.

Finałem ataku był mechanizm przechwytywania sesji Adversary-in-the-Middle (AiTM) - zamiast kraść hasła, atakujący włączali się w proces logowania w czasie rzeczywistym. Dzięki temu przejmowali gotowy klucz dostępu (token), co umożliwiało im dostęp do konta ofiary z całkowitym pominięciem zabezpieczeń, takich jak kody SMS czy powiadomienia w aplikacji.

Techniki socjotechniczne

Jak podaje Microsoft, wiadomości e-mail były wysyłane falami - cały proceder trwał od 8:51 14 kwietnia do 5:54 16 kwietnia (czasu polskiego). Każda z nich zawierała załącznik PDF zatytułowany w stylu „Postępowanie dyscyplinarne - sprawa dotycząca korzystania z urządzeń przez pracowników.pdf”, który faktycznie zawierał informacje na wskazany temat.

Następnie odbiorcy byli proszeni o kliknięcie linku „Przejrzyj materiały dotyczące sprawy” w pliku PDF, co uruchamiało proces pozyskiwania danych uwierzytelniających - pisze Microsoft.

Maile zostały zaprojektowane w taki sposób, aby wywołać silną presję czasu i skłonić odbiorców do natychmiastowego działania. Musieli kliknąć w link, aby „wyjaśnić sprawę” przed upływem terminu.

Dodatkowo, pojawiające się poważne oskarżenia miały wzbudzić niepokój i skłonić odbiorców do podejmowania decyzji pod wpływem emocji, zamiast racjonalnej analizy sytuacji.

Aby zachować „autentyczność”, maile zawierały również logo korporacyjne oraz oświadczenia potwierdzające wiarygodność na każdym etapie. Na górze każdej wiadomości znajdowała się informacja, że została ona „wysłana za pośrednictwem autoryzowanego kanału wewnętrznego”, a linki i załączniki zostały „sprawdzone i zatwierdzone pod kątem bezpiecznego dostępu” - opisuje Microsoft.

W celu uśpienia czujności zarówno systemów bezpieczeństwa, jak i samych użytkowników, dodatkową wiarygodność budowano poprzez stosowanie kilku stron pośrednich, w tym testów CAPTCHA. Dzięki temu odbiorca mógł odnieść wrażenie, że przechodzi przez standardowy, bezpieczny proces weryfikacji.

Analiza infrastruktury wysyłkowej wykazała, że wiadomości e-mail w ramach kampanii zostały wysłane za pośrednictwem legalnej usługi dostarczania poczty elektronicznej, prawdopodobnie z wirtualnej maszyny z systemem Windows hostowanej w chmurze. Wiadomości wysyłano z wielu adresów nadawców, korzystając z domen, które najprawdopodobniej są kontrolowane przez atakujących.
Komunikat Microsoft.

Etapy przejęcia danych logowania

Przejdźmy zatem przez cały proces wykorzystywania tego mechanizmu.

Po kliknięciu w link użytkownik był przekierowywany na domenę kontrolowaną przez atakujących (np. acceptable-use-policy-calendly(.)de lub compliance-protectionoutlook (.)de). Następnie proszono go o wykonanie testu CAPTCHA od Cloudflare, który - według specjalistów z Microsoft Defender Research - pełnił funkcję „mechanizmu blokującego, mającego na celu utrudnienie automatycznej analizy i uruchomienia w środowisku sandbox”.

Po wykonaniu testu następował kolejny etap ataku: użytkownik był przekierowywany na pośrednią stronę, która zawierała informację o zaszyfrowaniu dokumentacji i konieczności uwierzytelnienia konta. Aby przejść dalej, należało kliknąć „Przejrzyj i podpisz” oraz podać adres e-mail w wyświetlonym oknie.

Następnie użytkownik ponownie był proszony o wykonanie testu CAPTCHA. Dopiero wtedy pojawiał się komunikat o rzekomym zakończeniu weryfikacji oraz informacja o przygotowywaniu sprawy do dalszego rozpatrzenia.

Ale to nie koniec.

Po tym komunikacie użytkownik był ponownie przekierowywany do trzeciej witryny, gdzie następował kluczowy etap ataku: kradzież danych logowania. Co istotne, analiza kodu wykazała, że finalny adres URL był uzależniony od typu urządzenia, z którego korzystał użytkownik.

Na tej stronie informowano, że wszystkie materiały związane z przeglądem „postępowania” zostały „bezpiecznie zarejestrowane”, „opatrzone datą i godziną” oraz „przechowane w scentralizowanym systemie monitorowania zgodności organizacji”. Na samym końcu widniała prośba, aby użytkownik umówił się na rozmowę w sprawie poruszonej w mailu - poprzez zalogowanie się na swoje konto Microsoft.

Kliknięcie w logowanie kontem Microsoft inicjowało atak typu AiTM.

Przezroczysty atak: jak działa AiTM

Atak typu „Adversary-in-the-Middle” to nowa, bardziej zaawansowana odsłona klasycznego „Man-in-the-Middle”, który skupiaja się na warstwie sieciowej. Jego głównym celem jest obejście zabezpieczeń wieloskładnikowego uwierzytelniania (MFA, które dotychczas uchodziło za mechanizm bardzo trudny do złamania.

AiTM wykorzystuje zaawansowany serwer proxy, który działa jak przezroczysta szyba ustawiona między użytkownikiem a prawdziwym serwisem. Haker nie tworzy więc fałszywej strony w klasycznym sensie, lecz w czasie rzeczywistym pośredniczy w komunikacji, przekazując zawartość oryginalnej witryny, jednocześnie monitorując wszystkie działania użytkownika.

W opisywanym przypadku, gdy użytkownik klikał przycisk logowania, jego żądanie - zamiast trafić bezpośrednio do Microsoftu - przechodziło przez serwer atakującego, który natychmiast przekazywał identyczne zapytanie do prawdziwego serwera Microsoftu. Użytkownik widział autentyczne formularze i logotypy, co skutecznie obniżało jego czujność.

Po poprawnym wpisaniu hasła i zatwierdzeniu kodu MFA system Microsoftu wystawiał tzw. token sesji, umożliwiający dalszą pracę bez konieczności ponownego logowania. Ten token był jednak przechwytywany przez atakującego, zanim dotarł do przeglądarki użytkownika, dzięki czemu przestępca mógł go „wkleić” do własnej sesji i błyskawicznie przejąć pełną kontrolę nad kontem.

Przykład opisanych przez Microsoft ataków pokazuje wysoki poziom zaawansowania współczesnych grup cyberprzestępczych. Ich phishingowe działnia nie kończą się na starannie przygotowanych wiadomościach i budowaniu półwiarygodnych stron pośrednich. Obecnie wykorzystują oni wieloetapowe procesy, wykraczające poza tradycyjne schematy ataku - coraz częściej obejmują one mechanizmy pośredniczące działające w czasie rzeczywistym, wiernie odtwarzające środowisko logowania użytkownika.

W efekcie rozpoznanie oszustwa staje się niezwykle trudne bez szczegółowej wiedzy na temat procedur firmy i mechanizmów funkcjonowania jej systemów. Każdy z tych etapów jest precyzyjnie zaprojektowany tak, aby zarówno stopniowo osłabiać czujności ofiary jak i ominąć techniczne zabezpieczenia.