مایکروسافت با دریافت مجوز از دادگاه شش دامنه مخرب را توقیف کرد. هکرها از این دامنهها برای حملات فیشینگ با موضوع کرونا و کلاهبرداری از کاربران آفیس 365 استفاده میکردند.
طبق اسناد دادگاه که توسط سایت ZDNet رویت شده، مایکروسافت گروه هکی را شناسایی کرده که مشتریان این شرکت را از دسامبر سال گذشته میلادی هدف حملات خود قرار داده بودند. هکرها به شرکتهایی که از سرورهای ایمیل و زیرساختهای سازمانی روی خدمات ابری آفیس 365 میزبانی میکردند، ایمیل مخرب میفرستادند.
هکرها ایمیلها را به گونهای طراحی میکردند تا در ظاهر شبیه ایمیلهای ارسالی از طرف کارمندان نزدیک یا شرکتهای همکار شود. این حمله در نوع خود منحصر به فرد است چون هکرها به جای راهنمایی کاربران به سایتهای فیشینگ با صفحه لاگین آفیس 365، آنها را با فایل آفیس فریب میدادند. کاربر پس از باز کردن این فایل به صفحه نصب بدافزار هدایت میشد.
این اپلیکیشن پس از نصب کنترل کامل اکانت آفیس 365 قربانی از جمله تنظیمات، فایلها، محتوای ایمیلها، لیست مخاطبین، یادداشتها و غیره را به دست هکرها میسپارد. مایکروسافت میگوید هکرها با استفاده از این اپ مخرب توانستهاند بدون نیاز به هک کردن پسوردها و با به دست آوردن توکن OAuth2 به طور کامل کنترل اکانت قربانی را در دست بگیرند.
برخی از این حملات موفقیت آمیز بودهاند که دلایل آن شباهت اپلیکیشن مخرب به اپهای رسمی مایکروسافت، محیط ماژولار آفیس 365 و رواج نصب اپهای شخص ثالث در آن و استفاده هکرها از تکنیک هوشمندانه ذکر شده است.
مایکروسافت حدوداً یک هفته قبل در دادگاه از هکرها شکایت و شش دامنه که آنها برای میزبانی اپلیکیشنهای مخرب آفیس 365 استفاده میکردند را شناسایی نمود. به گفته این شرکت هکرها در ابتدا حملات فیشینگ را با موضوع مرتبط با کسب و کار انجام میدادند، اما پس از همه گیری ویروس کرونا به سرعت موضوع ایمیلهای مخرب را به کرونا تغییر دادند.
مایکروسافت میگوید نصب اپ مخرب تازه شروع کار هکرها بوده و آنها قصد داشتهاند در ادامه حملاتی موسوم به BEC را ترتیب دهند. در این حملات هکرها از طرف کارمندان، مدیران ارشد یا شرکتهای همکار، به کمپانیها ایمیل ارسال کرده و با فریب قربانی به انجام تراکنشهای مربوط به کسب و کار، پول را به حساب خود واریز میکنند.