Мошенники используют в фишинговых атаках поддельную Google reCAPTCHA

[Artifact]

За последние три месяца не менее 2,5 тыс. поддельных электронных писем были отправлены высокопоставленным сотрудникам банков и IT-компаний.

Киберпреступники отправляют тысячи фишинговых писем пользователям Microsoft Office 365 в рамках текущей вредоносной кампании с целью кражи учетных данных. Злоумышленники придают кампании вид легитимности, используя поддельную систему Google reCAPTCHA и целевые страницы доменов верхнего уровня, на которых размещены логотипы компаний жертв.
По данным команды исследователей безопасности ThreatLabZ компании Zscaler, за последние три месяца не менее 2,5 тыс. подобных электронных писем были отправлены высокопоставленным сотрудникам банков и IT-сферы. Письма сначала перенаправляют получателей на поддельную страницу системы Google reCAPTCHA. Google reCAPTCHA — система защиты web-сайтов от спама и злоупотреблений, используя тест Тьюринга для различения людей и ботов.
После прохождения поддельного теста reCAPTCHA пользователи перенаправляются на фишинговую целевую страницу, где запрашиваются их учетные данные Office 365.
«Атака нацелена на старших руководителей бизнеса, таких как вице-президенты и директора, которые, вероятно, имеют более высокий уровень доступа к конфиденциальным данным компании. Цель кампаний — украсть учетные данные жертв и получить доступ к ценным активам фирм», — пояснили эксперты.
Фишинговые письма замаскированы под автоматические электронные письма от средств унифицированных коммуникаций жертв, в которых якобы присутствует вложение голосовой почты.
Страницы авторизации в сервис Microsoft также содержат различные логотипы компаний, в которых работают жертвы, например, разработчика программного обеспечения ScienceLogic или компании по аренде офисов BizSpace.
«После ввода учетных данных фишинговая кампания покажет фальшивое сообщение с надписью «Проверка прошла успешно». Затем пользователям показывают запись сообщения голосовой почты, которую они могут воспроизвести, что позволяет злоумышленникам избежать подозрений», — отметили специалисты.
Исследователи обнаружили множество фишинговых страниц, связанных с кампанией, которые размещались с использованием общих доменов верхнего уровня, таких как .xyz, .club и .online. Эти домены верхнего уровня обычно используются киберпреступниками для спама и фишинговых атак.