Исследователи Push Security раскрывают новую технику хакеров, которая объединяет легитимные ссылки office.com со службами Active Directory Federation Services (ADFS) для перенаправления пользователей на фишинговую страницу и кражи учетных данных Microsoft 365.

Этот метод позволяет злоумышленникам обходить традиционную систему обнаружения на основе URL-адресов и процесс MFa, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.

Заметить аномалию с перенаправлением пользователей с легитимной ссылки outlook.office.com на фишинговый веб-сайт удалось в ходе анализа кампании, нацеленной на нескольких из клиентов Push Security.

Фишинговая страница не имела никаких особых элементов, которые могли бы воспрепятствовать ее обнаружению, однако метод доставки включал доверенную инфраструктуру для обхода решений безопасности.

Фишинговая атака начиналась с нажатия жертвой вредоносной рекламной ссылки в результатах поиска Google по запросу Office 365.

После чего пользователь перенаправлялся в Microsoft Office, который, в свою очередь, перенаправлял пользователя на другой домен, bluegraintours[.]com, который, в свою очередь, также перенаправлял на фишинговую страницу, настроенную для сбора учетных данных.

На первый взгляд, переход на вредоносную страницу происходил путем перенаправления с домена Microsoft office.com, а не посредством фишингового письма.

При расследовании инцидентов исследователи Push Security обнаружили, что злоумышленник создал пользовательский клиент Microsoft с настроенными службами ADFS.

ADFS - это решение единого входа (SSO) от Microsoft, которое позволяет пользователям получать доступ к нескольким приложениям как внутри, так и за пределами корпоративной сети, используя единый набор учетных данных для входа.

Управляя клиентом Microsoft, злоумышленник смог использовать ADFS для получения запросов на авторизацию от домена bluegraintours, который выступал в роли поставщика IAM, что позволило выполнить аутентификацию на фишинговой странице.

Поскольку сайт bluegraintours не виден цели во время цепочки перенаправлений, злоумышленник заполнил его фейковыми сообщениями в блоге и достаточным количеством информации, чтобы он казался легальным для автоматических сканеров.

Дальнейший анализ показал, что злоумышленник применил условные ограничения загрузки, которые предоставляют доступ к фишинговой странице только тем целям, которые считаются допустимыми. В противном случае автоматически перенаправляются на официальный office.com.

Как полагают в Push Security, замеченные вредоносные активности с довольно стандартными фишинговыми артефактами, по всей видимости, не нацелены на конкретные цели и скорее всего были реализованы в формате тестирования новых методов атак.

Ранее Microsoft ADFS уже использовался в фишинговых кампаниях, но тогда злоумышленники подделывали страницу входа в ADFS целевой организации, чтобы украсть учетные данные.

Для защиты от атак такого типа Push Security рекомендует комплекс мер, включающий мониторинг перенаправлений ADFS на вредоносные сайты.

Поскольку расследуемая атака началась с вредоносной рекламы, исследователи также советуют проверять параметры рекламы в перенаправлениях Google на office.com, поскольку это может выявить вредоносные домены или перенаправления на фишинговые страницы.