طی چند ماه اخیر، گروههای مختلفی از مهاجمان با موفقیت حسابهای ایمیل حداقل ۱۵۶ مدیر عالی رتبه را در چند شرکت مختلف در آلمان، انگلیس، هلند، هنگکنگ و سنگاپور در معرض خطر قرار دادند. پویش حملهی سایبری جدید به نام PerSwaysion از خدمات اشتراک فایل مایکروسافت از جمله Sway، SharePoint و OneNote استفاده کرده است تا حملات فیشینگ هدفمند راهاندازی کند.
طبق گزارش Group-IB، عملیات PerSwaysion به مدیران بیش از ۱۵۰ شرکت در سراسر جهان، و در درجهی اول شرکتهای مالی، حقوقی و املاک و مستغلات حمله کرده است. در میان این مدیران عالی رتبهی قربانی، بیش از ۲۰ حساب Office365 متعلق به مدیران، رؤسا و مدیران عامل مشاهده شده است.
بیشتر عملیات PerSwaysion که توسط کلاهبردارانی از نیجریه و افریقای جنوبی رهبری شده، تاکنون موفقیتآمیز بوده است و همچنان ادامه دارد. این کلاهبرداران از یک کیت فیشینگ مبتنیبر فریمورک جاوااسکریپت به نام Vue.js استفاده کردهاند که توسط نفوذگرانی با زبان ویتنامی توسعه داده شده است.
تا اواخر ماه سپتامبر سال ۲۰۱۹ میلادی، پویش PerSwaysion از appspot گوگل برای فیشینگ سرورهای برنامههای تحت وب و از Cloudflare برای فیشینگ سرورهای backend داده استفاده میکند.
همانند بسیاری از حملات فیشینگی که هدف آنها سرقت گواهینامههای Office 365 است، ایمیلهای جعلی ارسالشده در عملیات PerSwaysion نیز قربانیان را با یک پیوست PDF حاوی پیوند read now به یک فایل میزبانیشده در Sway فریب میدهد.
پژوهشگران بیان کردند که مهاجمان برای جلوگیری از شناسایی ترافیک، خدمات اشتراک محتوای مبتنیبر ابر قانونی مانند Sway، SharePoint و OneNote مایکروسافت را انتخاب میکنند.
در مرحلهی بعد، صفحهی نمایش دستکاریشده در سرویس Sway مایکروسافت حاوی پیوند read now است که کاربران را به وبگاه فیشینگ واقعی هدایت میکند که منتظر است قربانیان گواهینامههای حساب ایمیل یا سایر اطلاعات محرمانهی خود را وارد کنند.
مهاجمان پس از سرقت اطلاعات در مرحلهی بعد دادههای ایمیل قربانیان را با استفاده از IMAP APIها از سرور بارگیری میکنند و سپس هویت آنها را جعل میکنند تا افرادی را که بهتازگی ارتباطات ایمیلی با قربانی داشتند، هدف قرار دهند و نقشهای مهمی در همان شرکت یا شرکتهای دیگر ایفا کنند.
در نهایت، فایلهای PDF فیشینگ جدیدی با نام کامل قربانی، آدرس ایمیل و نام شرکت تولید میکنند. این فایلهای PDF به یک مجموعهی انتخابشده از افراد جدید ارسال میشود که تمایل دارند در خارج از سازمان قربانی حضور داشته باشند. عملیات PerSwaysion بهطور خاص ایمیلهای جعل هویت را از صندوق خروجی قربانی حذف میکند تا از مشکوک شدن قربانی جلوگیری کند.
شواهد نشان میدهد که کلاهبرداران احتمالاً از پروفایلهای LinkedIn برای ارزیابی موقعیتهای قربانی استفاده میکنند. این روش احتمال هشدار زودهنگام از طرف همکاران قربانی را کاهش و نرخ موفقیت چرخهی فیشینگ جدید را افزایش میدهد.
اگرچه شواهد روشنی در مورد نحوهی استفادهی مهاجمان از دادههای شرکتهای هدف وجود ندارد، اما پژوهشگران معتقدند که ممکن است این دادهها به سایر کلاهبرداران مالی فروخته شود تا کلاهبرداریهای پولی سنتی انجام دهند.
Group-IB نیز یک صفحه وب آنلاین راهاندازی کرده است که در آن هر کسی میتواند بررسی کند که آیا آدرس ایمیل او در حملات PerSwaysion در معرض خطر قرار گرفته است یا خیر؟ بااینحال درصورتیکه کاربران احتمال میدهند که مورد هدف قرار گرفتهاند، تنها باید از آن صفحه استفاده کنند و ایمیل خود را وارد کنند.