حملات فیشینگ هدفمند با موفقیت به حساب‌های ایمیل مدیران اجرایی بیش از ۱۵۰ شرکت نفوذ کردند

طی چند ماه اخیر، گروه‌های مختلفی از مهاجمان با موفقیت حساب‌های ایمیل حداقل ۱۵۶ مدیر عالی رتبه را در چند شرکت مختلف در آلمان، انگلیس، هلند، هنگ‌کنگ و سنگاپور در معرض خطر قرار دادند. پویش حمله‌ی سایبری جدید به نام PerSwaysion از خدمات اشتراک فایل مایکروسافت از جمله Sway، SharePoint و OneNote استفاده کرده است تا حملات فیشینگ هدفمند راه‌اندازی کند.

طبق گزارش Group-IB، عملیات PerSwaysion به مدیران بیش از ۱۵۰ شرکت در سراسر جهان، و در درجه‌ی اول شرکت‌های مالی، حقوقی و املاک و مستغلات حمله کرده است. در میان این مدیران عالی رتبه‌ی قربانی، بیش از ۲۰ حساب Office365 متعلق به مدیران، رؤسا و مدیران عامل مشاهده شده است.

بیشتر عملیات PerSwaysion که توسط کلاه‌بردارانی از نیجریه و افریقای جنوبی رهبری شده، تاکنون موفقیت‌آمیز بوده است و همچنان ادامه دارد. این کلاه‌برداران از یک کیت فیشینگ مبتنی‌بر فریم‌ورک جاوااسکریپت به نام Vue.js استفاده کرده‌اند که توسط نفوذگرانی با زبان ویتنامی توسعه داده شده است.

تا اواخر ماه سپتامبر سال ۲۰۱۹ میلادی، پویش PerSwaysion از appspot گوگل برای فیشینگ سرورهای برنامه‌های تحت وب و از Cloudflare برای فیشینگ سرورهای backend داده استفاده می‌کند.

همانند بسیاری از حملات فیشینگی که هدف آن‌ها سرقت گواهی‌نامه‌های Office 365 است، ایمیل‌های جعلی ارسال‌شده در عملیات PerSwaysion نیز قربانیان را با یک پیوست PDF حاوی پیوند read now به یک فایل میزبانی‌شده در Sway فریب می‌دهد.

پژوهش‌گران بیان کردند که مهاجمان برای جلوگیری از شناسایی ترافیک، خدمات اشتراک محتوای مبتنی‌بر ابر قانونی مانند Sway، SharePoint و OneNote مایکروسافت را انتخاب می‌کنند.

در مرحله‌ی بعد، صفحه‌ی نمایش دست‌کاری‌شده در سرویس Sway مایکروسافت حاوی پیوند read now است که کاربران را به وب‌گاه فیشینگ واقعی هدایت می‌کند که منتظر است قربانیان گواهی‌نامه‌های حساب ایمیل یا سایر اطلاعات محرمانه‌ی خود را وارد کنند.

مهاجمان پس از سرقت اطلاعات در مرحله‌ی بعد داده‌های ایمیل قربانیان را با استفاده از IMAP APIها از سرور بارگیری می‌کنند و سپس هویت آن‌ها را جعل می‌کنند تا افرادی را که به‌تازگی ارتباطات ایمیلی با قربانی داشتند، هدف قرار دهند و نقش‌های مهمی در همان شرکت یا شرکت‌های دیگر ایفا کنند.

در نهایت، فایل‌های PDF فیشینگ جدیدی با نام کامل قربانی، آدرس ایمیل و نام شرکت تولید می‌کنند. این فایل‌های PDF به یک مجموعه‌ی انتخاب‌شده از افراد جدید ارسال می‌شود که تمایل دارند در خارج از سازمان قربانی حضور داشته باشند. عملیات PerSwaysion به‌طور خاص ایمیل‌های جعل هویت را از صندوق خروجی قربانی حذف می‌کند تا از مشکوک شدن قربانی جلوگیری کند.

شواهد نشان می‌دهد که کلاه‌برداران احتمالاً از پروفایل‌های LinkedIn برای ارزیابی موقعیت‌های قربانی استفاده می‌کنند. این روش احتمال هشدار زودهنگام از طرف همکاران قربانی را کاهش و نرخ موفقیت چرخه‌ی فیشینگ جدید را افزایش می‌دهد.

اگرچه شواهد روشنی در مورد نحوه‌ی استفاده‌ی مهاجمان از داده‌های شرکت‌های هدف وجود ندارد، اما پژوهش‌گران معتقدند که ممکن است این داده‌ها به سایر کلاه‌برداران مالی فروخته شود تا کلاه‌برداری‌های پولی سنتی انجام دهند.

Group-IB نیز یک صفحه وب آنلاین راه‌اندازی کرده است که در آن هر کسی می‌تواند بررسی کند که آیا آدرس ایمیل او در حملات PerSwaysion در معرض خطر قرار گرفته است یا خیر؟ بااین‌حال درصورتی‌که کاربران احتمال می‌دهند که مورد هدف قرار گرفته‌اند، تنها باید از آن صفحه استفاده کنند و ایمیل خود را وارد کنند.

منبع

پست‌های مشابه

Leave a Comment