Согласно новому отчету экспертов по кибербезопасности Group-IB, сотни групп злоумышленников используют сложный фишинговый набор для атак на учетные записи Microsoft 365 организаций — с относительным успехом.
Фишинговый комплект называется W3LL и находится в разработке как минимум с 2017 года. За это время набор рос и совершенствовался, а вместе с ним росла и его популярность, поскольку в настоящее время его используют более чем 500 групп.
Этим группам удалось создать около 850 фишинговых кампаний, направленных на кражу учетных данных Microsoft 365 из более чем 56 000 учетных записей. Судя по всему, им удалось это сделать примерно в 8000 случаях. Результатом, по словам исследователей, являются «миллионы долларов» финансовых потерь и, возможно, миллионы файлов, украденных с конечных точек.
Фишинговые атаки W3LL
По словам экспертов, одним из ключевых преимуществ W3LL является возможность обходить многофакторную аутентификацию. Кроме того, поскольку он охватывает почти всю цепочку убийств в операции по компрометации деловой электронной почты (BEC), его могут использовать мошенники «любого технического уровня». Наконец, у W3LL есть собственный магазин приложений, где киберпреступники могут приобретать различные инструменты, модули и т. д.
Ключевые инструменты, согласно отчету, включают SMTP-отправители PunnySender и W3LL Sender, средство создания вредоносных ссылок W3LL Redirect, сканер уязвимостей OKELO, утилиту автоматического обнаружения учетных записей CONTOOL и валидатор электронной почты LOMPAT.
«Основное оружие W3LL, W3LL Panel, можно считать одним из самых передовых фишинговых комплектов в своем классе, обладающим функцией «злоумышленник посередине», API, защитой исходного кода и другими уникальными функциями», — пояснили в Group-IB.
Фишинг – один из самых популярных и основных видов атак. Установка недорогая и может быть легко автоматизирована. Из-за широкого охвата электронной почты вероятность фишинговых атак беспрецедентна. Даже сегодня большинство кибератак начинаются с сообщения электронной почты, содержащего либо вредоносное вложение, либо ссылку.
Выше: ПипКомпьютер
Еще больше новостей о безопасности от TechRadar Pro
