Neue Phishing-Kampagne zielt auf Microsoft 365-Konten von Führungskräften ab

Die Bedrohungsakteure verwenden den EvilProxy-Phishing-Service, der Sitzungscookies sammelt, die verwendet werden können, um Mehr-Faktor-Authentifizierungsmechanismen zu umgehen.

Forscher von Menlo Security berichten, dass die Ziele dieser Phishing-Kampagne Führungskräfte und hochrangige Mitarbeiter aus verschiedenen Branchen sind, darunter Elektronikherstellung, Bankwesen und Finanzen, Immobilien, Versicherungen und Immobilienverwaltung.

Weiterleitungen sind legitime URLs, die Besucher automatisch an einen anderen Ort im Internet, in der Regel eine Website von Dritten, leiten.

Offene Weiterleitungen sind Schwachstellen im Website-Code, die das Erzeugen von Weiterleitungen an beliebige Orte ermöglichen, was von Bedrohungsakteuren genutzt wurde, um auf eine Phishing-Seite zu verlinken.

Da der Link von einer vertrauenswürdigen Partei stammt, kann er E-Mail-Sicherheitsmaßnahmen umgehen oder in Suchergebnissen beworben werden, ohne Verdacht zu erregen.

In der von Menlo Security entdeckten Kampagne nutzen die Bedrohungsakteure eine offene Weiterleitung auf indeed.com, der US-amerikanischen Seite für Stellenanzeigen.

EvilProxy ist eine Phishing-as-a-Service-Plattform, die Reverse-Proxys verwendet, um die Kommunikation und Übermittlung von Benutzerdaten zwischen dem Ziel und dem echten Online-Dienst, in diesem Fall Microsoft, zu erleichtern.

Wenn der Benutzer über diesen Phishing-Server, der die authentische Login-Seite imitiert, auf sein Konto zugreift, kann der Bedrohungsakteur die Authentifizierungscookies erfassen.

Da Benutzer bereits die erforderlichen Mehr-Faktor-Authentifizierungsschritte während des Logins abgeschlossen haben, geben die erworbenen Cookies Cyberkriminellen vollen Zugriff auf das Opferkonto.