Een nieuwe phishing campagne gebruikt 'Microsoft voicemail meldingen' als lokaas om slachtoffers uit te lokken om een bijlagen te openen.
In deze phishing e-mails staat dat je een voicemail bericht hebt ontvangen, vervolgens lokken de cybercriminelen je uit tot het openen van de bijlage om het spraakbericht te beluisteren, om het geloofwaardig over te laten komen vermelden ze het nummer van de beller en de lengte van het voicemail bericht.
De slachtoffers worden naar de phishing pagina gestuurd met behulp van een bekende omleidingstechniek.
Klik nooit zomaar op linkjes van afzenders die je niet bekend zijn, want voor je het weet zit je op een malafide website die hengelt naar je persoonlijke gegevens.
Beter is zelf de website in te tikken in de adresbalk, zo weet je zeker dat je op de juiste website zit.
De omleidingstechniek die het meta HTML-element gebruikt met de waarde van het http-equiv- kenmerk ingesteld op “Vernieuwen” en de waarde van het inhoudskenmerk ingesteld op “1” is om een time-out van een seconde te creëren.
In tegenstelling tot eerder gespotte campagnes die misbruik maken van meta deze aanvallen vernieuwen via een tussenliggende URL die is ontworpen om de slachtoffers naar de bestemmingspagina te sturen, gebruiken deze aanvallen de HTML-bijlage zelf om de omleiding te starten, een methode genaamd ‘MetaMorph Obfuscation’ door de onderzoekers van 'Avanan'.
De bijlage wordt geopend in de standaard webbrowser van de slachtoffers, die je onopgemerkt door linkt naar een pagina gehost op de mototamburi.com gecompromitteerde WordPress-website via een tinyw.in verkorte URL en met behulp van het meta-element ingebed aan het einde van de HTML-bijlage om het omleidingsproces te starten.
“Deze kwaadaardige HTML-bijlagen gebruiken meta-vernieuwing om de eindgebruiker om te leiden van een HTML-bijlage die lokaal wordt gehost naar een phishing-pagina die op het openbare internet wordt gehost”, zegt Avanan.
“Omdat de hacker deze verversingstag gebruikt om de URL te verdoezelen, detecteren de ingebouwde link-parsers van Office 365 (gebruikt door zowel de standaard EOP als E5 ATP) de bedreiging niet.”
Om de Office 365-gegevens van hun slachtoffers te verzamelen, hebben de aanvallers een vervalste “Voicemail-beheersysteem” -pagina ontworpen die een inlog formulier “Voicemail-gebruikers authenticatie” oproept.
Dit phishing-formulier vraagt de slachtoffers om het e-mailadres en wachtwoord van hun Microsoft-account in te voeren dat wordt verzameld en verzonden naar een door cybercrimineel beheerde server.
Het IP-adres van de server dat beschikbaar is op 37.111.130.203 en wordt gebruikt om de gestolen Microsoft Office 365-gebruikersgegevens op te slaan, is gecodeerd op de bestemmingspagina voor phishing.
“Deze aanval bouwt voort op de golf van HTML-bijlagen die we onlangs hebben waargenomen en die gericht zijn op onze klanten, of ze nu MKB of onderneming zijn”, concludeert Avanan.
“Het voegt een extra laag van verfijning toe aan kwaadaardige HTML-bijlagen met de tag, die de URL verdoezelt om linkanalyse te omzeilen en omleidt naar een gecompromitteerd domein op het openbare internet.”
Eind januari werd een andere phishing-campagne waargenomen door 'EdgeWave' ze ontdekten dat tijdens het gebruik van RingCentral voicemail, er berichten werden gecreëerd die de slachtoffers uitlokten hun inloggegevens in te vullen.
De phishing e-mails gebruikten EML-bijlagen die worden geopend in de Outlook-client van de slachtoffers, waardoor het voor cybercriminelen nog eenvoudiger was om slachtoffers uit te lokken tot het klikken op de button (link).
Ook zouden de phishing pagina's van de cybercriminelen de slachtoffers vragen om hun gegevens twee keer in te voeren om ervoor te zorgen dat de ingevoerde combinaties van gebruikers en wachtwoorden de juiste zijn.
Phishing-expert NullCookies vertelde Bleeping Computer destijds dat slechts een klein aantal phishing-kits de wachtwoord-dubbele-controlemethode gebruikte en dat continu “een onjuiste wachtwoord waarschuwing weergeven ook kan worden gebruikt om te voorkomen dat u wordt omgeleid naar de website van het geïmiteerde bedrijf”, waardoor de oplichting dit extra camoufleert.
Als u e-mails met bijlagen of koppelingen ontvangt, neem dan contact op met de afzender voordat u een van deze opent of klikt.
Als dit geen optie is en u op een link in het bericht wilt klikken, controleer dan altijd de URL in de adresbalk van de webbrowser op verdachte zaken.
Als je iets ongewoons ziet na het openen van een link, sluit je de webbrowser en ga je niet verder. Gebruikers die slachtoffer geworden zijn van deze phishing truc en hun gegevens hebben ingevuld, raden we aan de wachtwoorden onmiddellijk te wijzigen.
Bron: avanan, envicom, edgewave, nullcookies
Reactie plaatsen
Reacties