PDF-файлы, размещенные на Autodesk, используются в фишинговых атаках Microsoft

Autodesk размещает вредоносные PDF-файлы, из-за которых жертвы фишинговой атаки крадут учетные данные для входа в Microsoft.

Сложная фишинговая кампания, стоящая за этими атаками, гораздо более убедительна, чем обычно, поскольку она использует скомпрометированные учетные записи электронной почты для поиска и атаки новых целей. Эти учетные записи используются для отправки фишинговых писем существующим контактам с использованием нижнего колонтитула реальной подписи отправителя.

Одно из фишинговых писем со ссылкой на документ, опубликованный на Autodesk Drive. Позже отправитель подтвердил, что его аккаунт был скомпрометирован.

Как и в этом примере, жертвы с гораздо большей вероятностью нажмут на ссылку на общий документ, когда электронное письмо придет от человека или компании, с которой они уже работают, особенно когда электронное письмо снабжено подписью и другими ожидаемыми контактными данными. чтобы увидеть.

Ссылка ведет жертву к PDF-документу, размещенному на Автодеск Драйв платформа обмена данными. Этот документ включает имя отправителя и компанию, в которой он работает, что еще больше усиливает доверие, возникшее в результате существующих деловых отношений с отправителем.

Вредоносный PDF-файл, размещенный на Autodesk Drive.

Ссылки в фишинговых письмах используют autode.sk Сокращатель URL-адресов, работающий на базе Битли. Autodesk Drive предназначен для обмена проектными файлами в облаке и поддерживает различные файлы 2D- и 3D-данных, включая PDF-файлы. Его можно использовать бесплатно при подписке на другие продукты Autodesk.

Когда жертва нажимает на большую ПРОСМОТРЕТЬ ДОКУМЕНТ кнопку, они будут перенаправлены на фишинговый сайт, который выдает себя за форму входа Microsoft.

Одна из поддельных форм входа Microsoft, использованных в этих атаках.

После ввода имени пользователя и пароля в поддельную форму жертва перенаправляется на книгу об инвестициях в недвижимость, которая размещена на сайте Microsoft. Один диск услуга. Это может создать у жертвы впечатление, что это именно тот документ, который она должна была получить, и, возможно, оставить ее без внимания тот факт, что ее собственная учетная запись Microsoft только что была скомпрометирована.

PDF-копия книги, которую жертва наконец увидит.

Вооружившись учетными данными Microsoft жертв, преступники, стоящие за этими атаками, могли получить несанкционированный доступ к конфиденциальным данным компании, а также рассылать еще больше фишинговых писем со скомпрометированных учетных записей Microsoft.

Еще один вредоносный PDF-файл, размещенный на Autodesk Drive. Он содержит другие данные отправителя и направляет жертву на другой фишинговый сайт Microsoft.

Эти атаки также обслуживают разные языки, что, вероятно, автоматизировано с использованием языкового стандарта отправителя. Например, следующий PDF-файл на Autodesk Drive утверждает, что он был отправлен канадской производственной компанией в Квебеке, где официальным языком является французский.

Французская версия атаки, написанная на языке канадской компании, которая якобы ее распространила.

Масштаб этих атак и использование настроенных PDF-документов предполагают некоторую степень шаблонизации и автоматизации, что приводит к серии целенаправленных взломов, которые могут распространиться по всему миру, как вирус.

Предприятиям и сотрудникам следует внимательно следить за фишинговыми атаками этого типа, но их способность распространяться также зависит от того, не размещает ли Autodesk вредоносные файлы, а также от того, что другие поставщики инфраструктуры не размещают фишинговые сайты Microsoft. Netcraft предоставляет хостинговым компаниям решения для предотвращения подобного злоупотребления их интернет-инфраструктурой. Для получения более подробной информации посетите https://www.netcraft.com/solutions/by-industry/internet-infrastructure/.