Экспертами из Avanan была выявлена новая вредоносная кампания, целью которой является хищение учетной информации Office 365.
Для того, чтобы обходить антифишинговые фильтры Office 365, хакеры пользуются методом Punycode, с помощью которого можно преобразовывать последовательности Unicode-символов в ACE-последовательности, состоящие лишь из алфавитно-цифровых символов, разрешенных в доменных именах. Punycode был создан для того, чтобы преобразовывать доменные имена в последовательность ASCII-символов.
До этого Punycode уже применялся для фишинговых атак. Злоумышленники вынуждали жертву пройти по ссылке, которая на первый взгляд является легитимной, но в действительности ведет на абсолютно другую страницу. Такого эффекта хакеры достигли, используя буквы из других алфавитов, внешне похожие на латинские.
Однако новые атаки проводятся не с целью обмана пользователей, а для того, чтобы перехитрить антифишинговые фильтры и другие защитные системы. Хакеры организуют рассылку писем якобы от лица FedEx, содержащих якобы безопасные ссылки. С помощью уязвимости в антифишинговой защите злоумышленники обманывают фильтры Office 365, а браузер переходит по вредоносной ссылке.
По словам экспертов, эта киберкампания направлена только против бизнес-пользователей Office 365. Так, фишинговая веб-страница, на которую осуществляется переадресация пользователей, запрашивает учетную информацию для аккаунта Business Email.