Lonjakan
A dalam email spearphishing yang dirancang untuk mencuri kredensial Office 365 termasuk beberapa yang dicurangi agar terlihat seperti berasal dari merek besar, termasuk Kaspersky.

Menurut buletin keamanan Kaspersky yang diposting Senin, dua kit phishing yang diidentifikasi sebagai "Iamtheboss" dan "MIRCBOOT' adalah digunakan bersama oleh beberapa pelaku ancaman untuk mengirim pemberitahuan faks palsu.

“Email phishing biasanya datang dalam bentuk 'pemberitahuan faks' dan memikat pengguna ke situs web palsu yang mengumpulkan kredensial untuk layanan online Microsoft,” menurut buletin.

One kampanye phishing yang dilacak oleh para peneliti tampaknya menyalahgunakan layanan Amazon yang disebut Amazon Simple Email Service (SES), yang dirancang untuk memungkinkan pengembang mengirim pesan email dari aplikasi. Kampanye, yang diidentifikasi oleh Kaspersky, mengandalkan token SES curian yang sekarang dicabut yang digunakan oleh kontraktor pihak ketiga selama pengujian situs web 2050.earth.



Situs 2050.earth adalah proyek Kaspersky yang menampilkan peta interaktif yang menggambarkan apa yang dilakukan oleh futurolog memprediksi dampak masa depan teknologi di planet ini. Token SES yang dicuri terkait dengan Kaspersky dan SES karena situs 2050.earth dihosting di infrastruktur Amazon.

“Email ini memiliki berbagai alamat pengirim, termasuk namun tidak terbatas pada noreply@sm.kaspersky.com. Mereka dikirim dari beberapa situs web termasuk infrastruktur Amazon Web Services,” buletin keamanan memperingatkan. Perusahaan mengatakan token SES yang dicuri hanya disalahgunakan dalam kapasitas terbatas dibandingkan dengan kampanye skala besar yang menyalahgunakan beberapa merek.

Tidak jelas merek lain apa yang terpengaruh oleh kampanye yang sedang berlangsung dan apakah token SES non-Kaspersky lainnya terlibat.

Perusahaan mengatakan token SES segera dicabut ketika diidentifikasi sebagai dicuri dan disalahgunakan.

Pencurian itu tidak menyebabkan kerusakan, menurut penasehat. “Tidak ada kompromi server, akses basis data tidak sah, atau aktivitas berbahaya lainnya yang ditemukan di 2050.earth dan layanan terkait,” katanya. akun online yang dapat menyimpan data sensitif. Phisher menggunakan email ini – yang terkadang membodohi orang dengan meniru perusahaan, aplikasi, atau institusi tepercaya – untuk mengarahkan orang ke situs phishing yang dibuat khusus sehingga mereka dapat memasukkan kredensial, mengira mereka melakukannya untuk alasan yang sah.

Kredensial Office 365 adalah hal yang umum sasaran serangan phising. Pada bulan Maret, misalnya, penipuan phishing menargetkan eksekutif di industri asuransi dan jasa keuangan dengan tujuan untuk mengambil kredensial Microsoft 365 mereka dan meluncurkan serangan kompromi email bisnis (BEC). pemberitahuan" sebuah tampilan legitimasi dengan memungkinkan mereka untuk mengidentifikasi pengirim sebagai "sm.kaspersky.com".

Pikat: Faks Palsu

Email phishing biasanya dimaksudkan sebagai "pemberitahuan faks" yang memikat target ke situs web palsu yang mengumpulkan kredensial untuk layanan online Microsoft . Ini bukan pertama kalinya lagu dan tarian “peringatan faks” lama digunakan. Pada bulan Desember 2020, kredensial Office 365 juga diserang oleh kampanye yang menggunakan email con.

Salah satu contoh email phishing dapat dilihat di bawah ini.
Contoh email phishing. Sumber: Kaspersky.

Analysis menunjukkan bahwa kampanye phishing mengandalkan kit phishing yang peneliti Kaspersky beri nama "Iamtheboss," digunakan bersama dengan kit phishing lain yang dikenal sebagai "MIRCBOOT."

MIRCBOOT Dilayani Oleh Platform Phishing Turnkey BulletProofLink

Jika nama akrab, mungkin karena itu adalah salah satu kit phishing yang baru-baru ini ditemukan Microsoft ketika menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih yang oleh para penjahat disebut BulletProofLink.

BulletProofLink, sebuah platform turnkey, menyediakan kit phishing, template email, hosting, dan alat lain yang memungkinkan pengguna menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri. Mereka kemudian menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

MIRCBOOT dan kit phishing lain yang tersedia di BulletProofLink memungkinkan calon penjahat dunia maya untuk mengatur situs web dan membeli nama domain yang mereka butuhkan untuk meluncurkan phishing kampanye, berpura-pura menjadi, katakanlah, karyawan perusahaan keamanan, seperti dalam kasus ini.