مهاجمان از اعتبارنامه‌ها و کوکی‌های به سرقت رفته برای دسترسی به صندوق‌های پستی کاربران آسیب‌دیده و اجرای کمپین‌های به خطر افتادن ایمیل تجاری (BEC) استفاده کردند.

به گفته مایکروسافت، کمپین فیشینگ که از سایت‌های مهاجم در وسط (AiTM) استفاده می‌کرد، از سپتامبر ۲۰۲۱ بیش از ۱۰۰۰۰ سازمان را هدف قرار داد.

به نظر می‌رسد این اجرا‌ها به یکدیگر مرتبط هستند و با جعل صفحه احراز هویت آنلاین آفیس، کاربران Office ۳۶۵ را هدف قرار می‌دهند. در یک کمپین فیشینگ AiTM، یک عامل تهدید تلاش می‌کند تا کوکی جلسه کاربر را به‌دست آورد - برای سرور وب که کاربر احراز هویت شده است - تا بتواند از کل فرآیند احراز هویت رد شود و از طرف کاربر عمل کند.

مهاجم یک وب سرور را مستقر می‌کند که بسته‌های HTTP را از کاربر بازدیدکننده از سایت فیشینگ به سرور هدفی که مهاجم می‌خواهد جعل هویت کند، پراکسی می‌کند و برعکس.

به این ترتیب، سایت فیشینگ از نظر ظاهری با وب سایت اصلی یکسان است. مهاجم همچنین نیازی به ایجاد سایت فیشینگ خود مانند روشی که در کمپین‌های فیشینگ معمولی انجام می‌شود، ندارد. مایکروسافت توضیح داد که URL تنها تفاوت آشکار بین سایت فیشینگ و واقعی است.

هنگامی که مهاجم اعتبارنامه‌ها را رهگیری می‌کند و از طرف کاربر احراز هویت می‌شود، می‌تواند فعالیت‌های بعدی مانند جعل در پرداخت را از داخل سازمان انجام دهد.

مهاجم هر چند ساعت یک بار به ایمیل‌های مربوط به امور مالی دسترسی پیدا می‌کرد و ایمیل اصلی فیشینگ را از صندوق ورودی حذف می‌کرد تا ردپای آن‌ها را پنهان کند.

علاوه بر این، برای دور ماندن از اسکن‌های امنیتی، مهاجم یک قانون صندوق ورودی ایجاد کرد تا پاسخ‌های آینده را از هدف کلاهبرداری پنهان کند.

 پس از تنظیم قانون، مهاجم اقدام به پاسخ دادن به رشته‌های ایمیل در حال انجام مربوط به پرداخت‌ها و صورت‌حساب‌ها بین هدف و کارمندان سایر سازمان‌ها کرد. به گفته مایکروسافت، مهاجم سپس پاسخ‌های خود را از پوشه‌های موارد ارسال شده (Sent) و موارد حذف شده (Deleted) حذف کرد.

منبع: سایبرنیوز