ИБ-специалисты из компании EdgeWave обнаружили необычную фишинговую кампанию: злоумышленники маскируют вредоносные письма под уведомления о голосовом сообщении и пытаются похитить учетные данные от аккаунта Microsoft, сообщает Threatpost.
Мошенники используют EML-вложения, чтобы обойти спам-фильтры и антивирусные сканеры, а также придать достоверность своей рассылке.
Outlook открывает EML-файлы как обычные письма. При этом почтовые фильтры и многие другие системы защиты могут пропускать такие объекты. Так, по словам аналитиков, сервис Virus Total определил полученный ими экземпляр вложения как безопасный.
Вложенный EML-файл выглядит как уведомление о голосовом сообщении в облачном сервисе RingCentral. В нем приводятся ссылки, по которым якобы можно посмотреть, прослушать или сохранить аудиофайл. Все ссылки ведут на один и тот же фишинговый ресурс.
Фишинговый сайт имитирует страницу авторизации Microsoft. Как выяснили специалисты, после ввода логина и пароля вредоносный ресурс выводит сообщение о том, что учетные данные некорректны, чтобы заставить пользователя повторить операцию. По мнению исследователей, таким образом злоумышленники пытаются убедиться в правильности паролей.
После повторной аутентификации в браузере открывается аудиофайл, похожий на реальное голосовое сообщение. Его текст не содержит номеров телефонов и другой информации, которая могла бы вызвать подозрение у жертвы. Скорее всего, прослушав запись, пользователь решит, что отправитель ошибся номером, и не поймет, что его учетные данные скомпрометированы.
