Μία νέα επίθεση Phishing χρησιμοποιεί μία υπηρεσία στατικών εφαρμογών ιστού του Microsoft Azure, με σκοπό την κλοπή των διαπιστευτηρίων Microsoft, Office 365, Outlook και OneDrive.
Το Azure Static Web Apps είναι μια υπηρεσία της Microsoft, που δημιουργήθηκε για την ανάπτυξη εφαρμογών web πλήρους στοίβας στο Azure από τα αποθετήρια κώδικα GitHub ή Azure DevOps.
Επιτρέπει στους προγραμματιστές να χρησιμοποιούν προσαρμοσμένους τομείς για την επωνυμία εφαρμογών Ιστού και παρέχει φιλοξενία Ιστού για στατικό περιεχόμενο όπως HTML, CSS, JavaScript και εικόνες.
Όπως ανακάλυψε η ομάδα ασφάλειας MalwareHunterTeam, κακόβουλοι παράγοντες έχουν επίσης παρατηρήσει ότι η προσαρμοσμένη επωνυμία και οι λειτουργίες φιλοξενίας Ιστού μπορούν εύκολα να χρησιμοποιηθούν για τη φιλοξενία στατικών σελίδων phishing.
Οι εισβολείς χρησιμοποιούν την υπηρεσία της Microsoft εναντίον των πελατών της, στοχεύοντας ενεργά χρήστες με λογαριασμούς Microsoft, Office 365, Outlook και OneDrive.
Ορισμένες από τις σελίδες προορισμού και τις φόρμες σύνδεσης που χρησιμοποιούνται σε αυτές τις καμπάνιες phishing μοιάζουν σχεδόν ακριβώς με τις επίσημες σελίδες της Microsoft.
Η χρήση της πλατφόρμας Azure Static Web Apps για τη στόχευση χρηστών της Microsoft αποτελεί μία εξαιρετική τακτική για τους κακόβουλους παράγοντες. Κάθε σελίδα προορισμού λαμβάνει αυτόματα το δικό της λουκέτο ασφαλούς σελίδας στη γραμμή διευθύνσεων λόγω του πιστοποιητικού TLS *.1.azurestaticapps.net.
- Αυτό πιθανότατα θα ξεγελάσει ακόμη και τους πιο καχύποπτους χρήστες, αφού στην ουσία το πιστοποιητικό επικυρώνει τη σελίδα phishing ως επίσημη φόρμα σύνδεσης της Microsoft στα μάτια των πιθανών θυμάτων.
Αυτό καθιστά επίσης αυτές τις σελίδες προορισμού χρήσιμο εργαλείο κατά τη στόχευση χρηστών άλλων πλατφορμών, συμπεριλαμβανομένων των Rackspace, AOL, Yahoo και άλλων παρόχων email, λόγω του πλαστού πέπλου ασφαλείας που προστίθεται από τα νόμιμα πιστοποιητικά TLS της Microsoft.
Η τυπική συμβουλή για να προστατευτούν οι χρήστες από επιθέσεις είναι να ελέγχουν προσεκτικά τη διεύθυνση URL όταν τους ζητείται να συμπληρώσουν τα διαπιστευτήρια του λογαριασμού τους σε μια φόρμα σύνδεσης.
Δυστυχώς, οι καμπάνιες phishing που κάνουν κατάχρηση των Azure Static Web Apps καθιστούν αυτή τη συμβουλή σχεδόν άχρηστη, καθώς πολλοί χρήστες θα ξεγελαστούν από τον υποτομέα azurestaticapps.net και το έγκυρο πιστοποιητικό TLS.
Δεν είναι η πρώτη φορά που μια υπηρεσία της Microsoft γίνεται αντικείμενο εκμετάλλευσης σε επιθέσεις phishing για να στοχευτούνν οι πελάτες της ίδιας της εταιρείας.
Οι καμπάνιες ηλεκτρονικού ψαρέματος χρησιμοποιούν επίσης το πιστοποιητικό *.blob.core.windows.net που παρέχεται από το Azure Blob Storage της Microsoft για τη στόχευση χρηστών του Office365 και του Outlook.