В последние недели аналитики CyberProof зафиксировали резкий рост фишинговых атак с использованием платформы SharePoint. Вместо традиционных вредоносных ссылок в письмах злоумышленники теперь маскируют свои атаки под легитимные файлы и документы в SharePoint, что усложняет их обнаружение.
Описание
Популярность SharePoint среди киберпреступников объясняется доверием пользователей к Microsoft-сервисам. Ссылки на SharePoint реже блокируются системами защиты, а динамический характер размещения вредоносного контента затрудняет его автоматическое сканирование. Кроме того, фишинговые страницы часто доступны только по уникальной ссылке в течение ограниченного времени, что делает их менее заметными для сканеров и песочниц.
Новые атаки стали более изощренными: вместо прямого перенаправления на страницы сбора учетных данных злоумышленники внедряют многоэтапную проверку. Например, пользователю предлагают ввести email, после чего на его почту приходит настоящий код подтверждения от Microsoft, что усиливает доверие. Затем жертва перенаправляется на поддельную страницу входа, где вводит свои учетные данные.
Обнаружить такие атаки сложно, поскольку они могут исходить от скомпрометированных аккаунтов партнеров или коллег. Одним из ключевых индикаторов компрометации являются подозрительные попытки входа после перехода по SharePoint-ссылке. Анализ журналов активности устройств и прокси-логов может помочь выявить перенаправления на фальшивые домены, имитирующие Microsoft.
Эксперты рекомендуют усилить мониторинг подозрительных действий после кликов по SharePoint-ссылкам и обучать сотрудников распознавать сложные фишинговые схемы, особенно с использованием кодов подтверждения. В условиях роста таких атак критически важно сочетать технические средства защиты с повышением осведомленности пользователей.
Индикаторы компрометации
Domains
- documents.rescloudofficeshareddrive365.com
- int-oracle.com
- jessnline.vegebit.com
- kj.vhjvoqrvub.com
- office.int-oracle.com
- revishbos.ru
- ushackagea.ru
