Специалисты Microsoft сообщили, что кампания прошла с 14 по 16 апреля 2026 года и затронула более 35 тысяч человек из 13 тысяч организаций в 26 странах. Около 92% целей находились в США. Под удар попали компании из сферы здравоохранения, финансов, технологий и профессиональных услуг. Об этом пишет Securitylab. Письма приходили от имён вроде «Internal Regulatory COC», «Workforce Communications» и «Team Conduct Report». В теме указывали якобы открытое дисциплинарное дело или нарушение внутренних правил. Сообщения выглядели как официальная переписка отдела кадров или службы соответствия требованиям. Пользователям приходили письма с обвинениями в несоблюдении корпоративных правил, а вся цепочка выглядела настолько правдоподобно, что жертвы сами передавали злоумышленникам доступ к учётным записям Microsoft. Авторы кампании тщательно продумали оформление. В письмах сообщалось, что сообщение отправили через «авторизованный внутренний канал», а ссылки и вложения «проверили и одобрили для безопасного доступа». Внизу добавляли баннер сервиса Paubox, который действительно используют для защищённой медицинской переписки в США. Такой приём должен был убедить жертву, что письмо легитимно. К каждому письму прикрепляли PDF-файл с названиями вроде «Awareness Case Log File – Tuesday 14th, April 2026.pdf» или «Disciplinary Action – Employee Device Handling Case.pdf». Внутри находилась ссылка «Review Case Materials», запускавшая цепочку атаки. После перехода пользователя отправляли на подконтрольный злоумышленникам сайт, где показывали CAPTCHA от Cloudflare. Проверка якобы подтверждала, что пользователь вошёл через «действительную сессию». Такой шаг помогал отсекать автоматические системы анализа и песочницы. Дальше открывалась промежуточная страница с сообщением, что документы зашифрованы и требуют подтверждения учётной записи. После нажатия кнопки «Review & Sign» жертву просили ввести адрес электронной почты, затем пройти ещё одну CAPTCHA с выбором изображений. После всех проверок пользователь попадал на финальную страницу с предложением «войти через Microsoft» для просмотра материалов дела и назначения встречи для обсуждения ситуации. На этом этапе запускалась схема AiTM, или «злоумышленник посередине». Такой метод позволяет перехватывать сеанс авторизации в реальном времени и красть токены доступа, даже если включена многофакторная аутентификация, не защищённая от фишинга. В Microsoft отметили, что злоумышленники использовали легальные сервисы рассылки электронной почты и облачные виртуальные машины Windows. Письма отправляли с нескольких доменов, зарегистрированных специально для кампании.
Мошенники придумали новый способ красть корпоративные учётные записи
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования