Операционный центр безопасности Darktrace обнаружил угрозу фишинговой кампании, где использовались легитимные сервисы, такие как приложение Milanote и фишинговый набор Tycoon 2FA, что обеспечило хакерам обход многофакторной аутентификации.
Описание
Darktrace классифицирует эти сервисы как отправителей бесплатного контента, позволяющих маскировать вредоносные письма под легитимные. Ситуация связана с растущей популярностью фишинговых наборов AiTM, таких как Tycoon 2FA, направленных на перехват MFA.
Фишинговые письма, направленные на пользователей через Milanote, содержали убедительные элементы, включая упоминание легитимных пользователей и компаний, а также сообщений о соглашениях, но оставались профессиональными и не вызывали подозрений. Один из получателей, перешедший на фишинговую страницу, зарегистрировался на нее, что подтвердилось легитимным письмом с уведомлением об успешной регистрации аккаунта.
Индикаторы компрометации
IPv4
- 38.242.7.252
- 5.181.3.68
- 89.185.80.19
Domains
- lrn.ialeahed.com
