پاتک مایکروسافت به هکرها

ديجياتو

بروزرسانی 1399/04/18 - 15:47

ديجياتو/ مايکروسافت با دريافت مجوز از دادگاه شش دامنه مخرب را توقيف کرد. هکرها از اين دامنه‌ها براي حملات فيشينگ با موضوع کرونا و کلاهبرداري از کاربران آفيس ۳۶۵ استفاده مي‌کردند. طبق اسناد دادگاه که توسط سايت ZDNet رويت شده، مايکروسافت گروه هکي را شناسايي کرده که مشتريان اين شرکت را از دسامبر سال گذشته ميلادي هدف حملات خود قرار داده بودند. هکرها به شرکت‌هايي که از سرورهاي ايميل و زيرساخت‌هاي سازماني روي خدمات ابري آفيس ۳۶۵ ميزباني مي‌کردند، ايميل مخرب مي‌فرستادند. هکرها ايميل‌ها را به گونه‌اي طراحي مي‌کردند تا در ظاهر شبيه ايميل‌هاي ارسالي از طرف کارمندان نزديک يا شرکت‌هاي همکار شود. اين حمله در نوع خود منحصر به فرد است چون هکرها به جاي راهنمايي کاربران به سايت‌هاي فيشينگ با صفحه لاگين آفيس ۳۶۵، آن‌ها را با فايل آفيس فريب مي‌دادند. کاربر پس از باز کردن اين فايل به صفحه نصب بدافزار هدايت مي‌شد.

اين اپليکيشن پس از نصب کنترل کامل اکانت آفيس ۳۶۵ قرباني از جمله تنظيمات، فايل‌ها، محتواي ايميل‌ها، ليست مخاطبين، يادداشت‌ها و غيره را به دست هکرها مي‌سپارد. مايکروسافت مي‌گويد هکرها با استفاده از اين اپ مخرب توانسته‌اند بدون نياز به هک کردن پسوردها و با به دست آوردن توکن OAuth2 به طور کامل کنترل اکانت قرباني را در دست بگيرند. برخي از اين حملات موفقيت آميز بوده‌اند که دلايل آن شباهت اپليکيشن مخرب به اپ‌هاي رسمي مايکروسافت، محيط ماژولار آفيس ۳۶۵ و رواج نصب اپ‌هاي شخص ثالث در آن و استفاده هکرها از تکنيک هوشمندانه ذکر شده است. مايکروسافت حدوداً يک هفته قبل در دادگاه از هکرها شکايت و شش دامنه که آن‌ها براي ميزباني اپليکيشن‌هاي مخرب آفيس ۳۶۵ استفاده مي‌کردند را شناسايي نمود. به گفته اين شرکت هکرها در ابتدا حملات فيشينگ را با موضوع مرتبط با کسب و کار انجام مي‌دادند، اما پس از همه گيري ويروس کرونا به سرعت موضوع ايميل‌هاي مخرب را به کرونا تغيير دادند. مايکروسافت مي‌گويد نصب اپ مخرب تازه شروع کار هکرها بوده و آن‌ها قصد داشته‌اند در ادامه حملاتي موسوم به BEC را ترتيب دهند. در اين حملات هکرها از طرف کارمندان، مديران ارشد يا شرکت‌هاي همکار، به کمپاني‌ها ايميل ارسال کرده و با فريب قرباني به انجام تراکنش‌هاي مربوط به کسب و کار، پول را به حساب خود واريز مي‌کنند.