ديجياتو/ مايکروسافت با دريافت مجوز از دادگاه شش دامنه مخرب را توقيف کرد. هکرها از اين دامنهها براي حملات فيشينگ با موضوع کرونا و کلاهبرداري از کاربران آفيس ۳۶۵ استفاده ميکردند.
طبق اسناد دادگاه که توسط سايت ZDNet رويت شده، مايکروسافت گروه هکي را شناسايي کرده که مشتريان اين شرکت را از دسامبر سال گذشته ميلادي هدف حملات خود قرار داده بودند. هکرها به شرکتهايي که از سرورهاي ايميل و زيرساختهاي سازماني روي خدمات ابري آفيس ۳۶۵ ميزباني ميکردند، ايميل مخرب ميفرستادند.
هکرها ايميلها را به گونهاي طراحي ميکردند تا در ظاهر شبيه ايميلهاي ارسالي از طرف کارمندان نزديک يا شرکتهاي همکار شود. اين حمله در نوع خود منحصر به فرد است چون هکرها به جاي راهنمايي کاربران به سايتهاي فيشينگ با صفحه لاگين آفيس ۳۶۵، آنها را با فايل آفيس فريب ميدادند. کاربر پس از باز کردن اين فايل به صفحه نصب بدافزار هدايت ميشد.
اين اپليکيشن پس از نصب کنترل کامل اکانت آفيس ۳۶۵ قرباني از جمله تنظيمات، فايلها، محتواي ايميلها، ليست مخاطبين، يادداشتها و غيره را به دست هکرها ميسپارد. مايکروسافت ميگويد هکرها با استفاده از اين اپ مخرب توانستهاند بدون نياز به هک کردن پسوردها و با به دست آوردن توکن OAuth2 به طور کامل کنترل اکانت قرباني را در دست بگيرند.
برخي از اين حملات موفقيت آميز بودهاند که دلايل آن شباهت اپليکيشن مخرب به اپهاي رسمي مايکروسافت، محيط ماژولار آفيس ۳۶۵ و رواج نصب اپهاي شخص ثالث در آن و استفاده هکرها از تکنيک هوشمندانه ذکر شده است.
مايکروسافت حدوداً يک هفته قبل در دادگاه از هکرها شکايت و شش دامنه که آنها براي ميزباني اپليکيشنهاي مخرب آفيس ۳۶۵ استفاده ميکردند را شناسايي نمود. به گفته اين شرکت هکرها در ابتدا حملات فيشينگ را با موضوع مرتبط با کسب و کار انجام ميدادند، اما پس از همه گيري ويروس کرونا به سرعت موضوع ايميلهاي مخرب را به کرونا تغيير دادند.
مايکروسافت ميگويد نصب اپ مخرب تازه شروع کار هکرها بوده و آنها قصد داشتهاند در ادامه حملاتي موسوم به BEC را ترتيب دهند. در اين حملات هکرها از طرف کارمندان، مديران ارشد يا شرکتهاي همکار، به کمپانيها ايميل ارسال کرده و با فريب قرباني به انجام تراکنشهاي مربوط به کسب و کار، پول را به حساب خود واريز ميکنند.
بازار