Microsoft diensten gebruikt in phishing aanvallen

Een aantal weken terug hebben we stilgestaan bij Modlishka en het herkennen van phishing aanvallen. Wat we nu enige tijd zien is dat hackers gebruik maken van de Microsoft cloud. Het is hierdoor mogelijk om een website te publiceren op een subdomein van “core.windows.net” en deze te gebruiken bij een phishing-aanval.

Domeinen die bijvoorbeeld gebruikt worden zijn:

  • documentonedrive.z13.web.core.windows.net 
  • office365access.blob.core.windows.net 

Onlangs kregen wij een melding van een dergelijke phishing aanval. In dit geval kreeg het betreffende slachtoffer een e-mail die ogenschijnlijk afkomstig was van OneDrive waarin een document gedeeld werd. We hebben diverse andere varianten gezien waaronder Slack en Outlook Web Access. Er zijn inmiddels meerdere artikelen geschreven over deze manier van phishing. Het eerste artikel wat wij tegen kwamen dateert van 7 september 2018 en is afkomstig van Appriver. Wij hebben onderzocht hoevaak deze manier nu daadwerkelijk voorkomt.

930 unieke domeinen

Voor dit onderzoek hebben wij data gebruikt van urlscan.io. Zij worden gevoed door verschillende bronnen waaronder de online diensten PhishTank en OpenPhish.

Wij hebben ons gefocust op websites die gepubliceerd zijn vanuit Microsoft Azure. De eerste scan voor dergelijke domeinen die wij op urlscan.io hebben kunnen vinden heeft plaatsgevonden op 30 augustus 2018, De laatste scan in dit onderzoek is uitgevoerd op 28 februari 2019. In dit onderzoek zijn wij 930 unieke domeinen tegen gekomen.

Unieke Phishing URL
Gescande Phishing URL

Een aanval

Het begint vooralsnog altijd via een e-mail soms specifiek gericht op persoon. Zodra de gebruiker klikt gaat hij naar de phishing url. In dit geval eindigt deze op web[.]core[.]windows[.]net, de certificaten zijn ook afkomstig van Microsoft. De website ziet er voor het slachtoffer bekend uit en de username is in de meeste gevallen vooraf ingevuld. In deze casus had de gebruiker niet door dat hij slachtoffer was van een phishing aanval. Zodra de gebruiker inlogt wordt het wachtwoord en username doorgestuurd naar de hacker, binnen 15 minuten zagen we dan ook activiteit vanuit Bulgarije. Wat opvalt is dat de hacker meegeeft wat voor type inloggegevens hij ontvangen heeft. Dit suggereert bij ons de indruk dat dit voor meerde diensten gebruikt wordt.

Conclusie & Advies

Het is lastig om vast te stellen hoevaak een dergelijke aanval nu daadwerkelijk plaatsvindt. De data in ons onderzoek is afkomstig van oplettende gebruikers die zelf onderzoek gedaan hebben naar dergelijke aanvallen. Wij vermoeden dat het aantal unieke domeinen vele malen hoger ligt.

Daarnaast zien we dat domeinen meerdere keren gebruikt worden voor verschillende aanvallen. Microsoft probeert actief deze sites off-line te halen maar vaak zijn deze toch zeker een dag beschikbaar waardoor de aanvaller al succesvol is.

Bescherming moet gezocht worden binnen uw e-mailbescherming. Binnen office365 kan hiervoor ATP gebruikt worden. Andere fabrikanten hebben soortgelijke oplossingen die alle linkjes in een e-mail controleren.

Auteur:Security Team

Security Team DTX