Преступники не охотятся за учетными данными, но устанавливают расширение, открывающее полный доступ к аккаунту.
Специалисты компании PhishLabs рассказали о необычной кампании, нацеленной на угон аккаунтов пользователей Office 365. Как сообщили ИБ-аналитики, злоумышленники не стремятся украсть логин и пароль пользователя, но пытаются установить на его устройство вредоносный плагин с широким набором разрешений. Атаки носят целевой характер — киберпреступники применяют методы социальной инженерии, чтобы обманом заставить жертву загрузить зловреда.
Точкой входа для нападающих является электронное письмо, маскирующееся под сообщение службы Microsoft OneDrive со ссылкой на файл в хранилище. В тексте письма, а также названии документа используются сведения, знакомые получателю. Реальный адрес отправителя скрыт при помощи спуфинга — вместо него отображаются данные одного из сотрудников целевой организации. Письмо не содержит прикрепленных объектов и способно успешно миновать антивирусные фильтры почтового сервера.
Ссылка на файл, содержащаяся в тексте, на самом деле является запросом на установку дополнительной утилиты для Office 365. Такие надстройки используются для расширения функций почтового клиента Outlook и других приложений, входящих в набор. Они могут быть созданы сторонними разработчиками и загружаются с принадлежащих им ресурсов.
Если получатель письма не был аутентифицирован в Office 365, то при переходе по ссылке откроется легитимный диалог ввода логина и пароля аккаунта Microsoft. После входа происходит запуск процесса установки, при этом вспомогательное приложение запрашивает широкий набор разрешений. Согласившись с ними, пользователь предоставляет надстройке возможность:
- читать, изменять и удалять доступные файлы, а также создавать новые документы;
- читать электронные письма;
- изменять настройки электронной почты, в том числе создавать правила переадресации;
- просматривать записные книжки OneNote, доступные в рамках аккаунта;
- копировать список контактов.
Как выяснили исследователи, вредоносное расширение было создано 25 ноября 2019 года под учетной записью легитимной организации. По мнению специалистов, аккаунт разработчика был умышленно скомпрометирован для использования в криминальной кампании.
ИБ-аналитики не зафиксировали массового использования этого метода взлома, поскольку подготовка такой атаки требует значительных усилий от нападающих. Гораздо более распространенный способ угона аккаунтов Office 365 — получение доступа через незащищенный протокол IMAP. По данным компании Proofpoint, в период с сентября 2018 года по февраль 2019-го количество подобных инцидентов исчислялось десятками тысяч.