پاتک مایکروسافت به هکرها؛ ردموندی‌ها کنترل ۶ دامنه فیشینگ را به دست گرفتند

مایکروسافت با دریافت مجوز از دادگاه شش دامنه مخرب را توقیف کرد. هکرها از این دامنه‌ها برای حملات فیشینگ با موضوع کرونا و کلاهبرداری از کاربران آفیس ۳۶۵ استفاده می‌کردند.

طبق اسناد دادگاه که توسط سایت ZDNet رویت شده، مایکروسافت گروه هکی را شناسایی کرده که مشتریان این شرکت را از دسامبر سال گذشته میلادی هدف حملات خود قرار داده بودند. هکرها به شرکت‌هایی که از سرورهای ایمیل و زیرساخت‌های سازمانی روی خدمات ابری آفیس ۳۶۵ میزبانی می‌کردند، ایمیل مخرب می‌فرستادند.

هکرها ایمیل‌ها را به گونه‌ای طراحی می‌کردند تا در ظاهر شبیه ایمیل‌های ارسالی از طرف کارمندان نزدیک یا شرکت‌های همکار شود. این حمله در نوع خود منحصر به فرد است چون هکرها به جای راهنمایی کاربران به سایت‌های فیشینگ با صفحه لاگین آفیس ۳۶۵، آن‌ها را با فایل آفیس فریب می‌دادند. کاربر پس از باز کردن این فایل به صفحه نصب بدافزار هدایت می‌شد.

این اپلیکیشن پس از نصب کنترل کامل اکانت آفیس ۳۶۵ قربانی از جمله تنظیمات، فایل‌ها، محتوای ایمیل‌ها، لیست مخاطبین، یادداشت‌ها و غیره را به دست هکرها می‌سپارد. مایکروسافت می‌گوید هکرها با استفاده از این اپ مخرب توانسته‌اند بدون نیاز به هک کردن پسوردها و با به دست آوردن توکن OAuth2 به طور کامل کنترل اکانت قربانی را در دست بگیرند.

برخی از این حملات موفقیت آمیز بوده‌اند که دلایل آن شباهت اپلیکیشن مخرب به اپ‌های رسمی مایکروسافت، محیط ماژولار آفیس ۳۶۵ و رواج نصب اپ‌های شخص ثالث در آن و استفاده هکرها از تکنیک هوشمندانه ذکر شده است.

مایکروسافت حدوداً یک هفته قبل در دادگاه از هکرها شکایت و شش دامنه که آن‌ها برای میزبانی اپلیکیشن‌های مخرب آفیس ۳۶۵ استفاده می‌کردند را شناسایی نمود. به گفته این شرکت هکرها در ابتدا حملات فیشینگ را با موضوع مرتبط با کسب و کار انجام می‌دادند، اما پس از همه گیری ویروس کرونا به سرعت موضوع ایمیل‌های مخرب را به کرونا تغییر دادند.

مایکروسافت می‌گوید نصب اپ مخرب تازه شروع کار هکرها بوده و آن‌ها قصد داشته‌اند در ادامه حملاتی موسوم به BEC را ترتیب دهند. در این حملات هکرها از طرف کارمندان، مدیران ارشد یا شرکت‌های همکار، به کمپانی‌ها ایمیل ارسال کرده و با فریب قربانی به انجام تراکنش‌های مربوط به کسب و کار، پول را به حساب خود واریز می‌کنند.