Beveiligingsonderzoekers hebben een geavanceerde phishing-aanval ontdekt die gebruik maakt van enkele bekende legitieme clouddiensten, waaronder cloudoplossingen van Oracle en Amazon.
Deze aanvalstactiek blijkt al meer dan zes maanden actief te zijn en is gericht op gebruikers die voor hun werk gebruik maken van Windows 10, macOS en mobiele besturingssystemen.
Beveiligingsonderzoekers van Mitiga ontdekten de phishing-campagne in eerste instantie nadat een van de medewerkers het doelwit was geworden, schrijft Techradar. “Deze specifieke aanval begint met het ontvangen van een phishing-e-mail van een legitieme, maar gecompromitteerde Office 365-e-mailaccount door het slachtoffer”, legt de Mitiga op een beveiligingsblog uit.
“In de phishingmail wordt de beoogde gebruiker gevraagd op een link te klikken voor een voicemailbericht. Zodra op de link is geklikt, wordt de gebruiker via verschillende proxy’s, waaronder AWS loadbalancers, doorgestuurd naar een door criminelen overgenomen website van een echte organisatie.” Op die manier ontdekte Mitiga meer dan 40 websites van kleine en middelgrote bedrijven die hiervoor worden misbruikt.
Hoewel deze phishing-aanval net als vele andere begint met een nep- of misleidende e-mail, voegt het een laagje complexiteit toe door de slachtoffers via een aantal legitieme sites om te leiden. Uiteindelijk wordt het doelwit doorgestuurd naar een valse Office 365-loginpagina die wordt gehost op de cloudinfrastructuur van Oracle of op AWS S3-servers.
Mitiga houdt er rekening mee dat de aanval onderdeel is van een phishing-as-a-service dienst. Dat concluderen de onderzoekers op basis van HTML-code die wordt gebruikt om de valse Office 365-pagina te maken. Maar het is ook mogelijk dat die informatie opzettelijk in de broncode is gestopt om de beveiligingersonderzoekers te misleiden.