Фишинговая атака обманом получает доступ к системе аутентификации Microsoft

Специалисты по безопасности выпустили предупреждение о новой кампании фишинга, которая злоупотребляет системой аутентификации Microsoft. Цель этой кампании – кража конфиденциальных данных и учетных записей.

Киберпреступники маскируются под службу Active Directory Federation Services (ADFS) Microsoft, чтобы украсть пароли пользователей, войти в их учетные записи и получить доступ к любой конфиденциальной информации, хранящейся там, предупреждают эксперты.

В новом отчете исследователи кибербезопасности из Abnormal Security описывают, как атака начинается с фишингового письма, которое выдает себя за IT-отдел целевой компании. В письме говорится, что система была модернизирована и всем пользователям необходимо пройти повторную аутентификацию.

Естественно, письмо также содержит нажимаемую кнопку, которая перенаправляет жертву на фишинговый сайт, идентичный странице входа в ADFS организации.

Перенаправление жертв Microsoft Active Directory Federation Services (AD FS) – это решение для единой аутентификации (SSO), которое позволяет пользователям получить доступ к нескольким приложениям с помощью одного набора учетных данных. Оно расширяет Active Directory (AD), предоставляя управление федеративной идентичностью и обеспечивая безопасную и бесшовную аутентификацию в разных организациях, облачных службах и приложениях.

Эта страница запрашивает учетные данные и коды MFA. «Шаблоны фишинга также включают формы, предназначенные для сбора второго фактора, необходимого для аутентификации учетной записи цели, в зависимости от настроек MFA организации», – говорится в документе Abnormal Security. «Abnormal наблюдал шаблоны, ориентированные на несколько распространенных механизмов MFA, включая Microsoft Authenticator, Duo Security и SMS-подтверждение».

Когда жертва вводит свои учетные данные, страница перенаправляет ее на законную страницу входа, чтобы сохранить видимость. Однако на заднем плане злоумышленники уже входят в систему, крадут конфиденциальные данные, создают новые правила фильтрации электронной почты и пытаются перемещаться по целевой сети.

Abnormal добавил, что кампания в основном направлена на организации в сфере образования, здравоохранения и государственного сектора. По его данным, уже было атаковано около 150 организаций. Целью кампании, по-видимому, не является шпионаж. Скорее всего, она мотивирована финансовой выгодой.