Microsoft heeft via een gerechtelijk bevel de controle gekregen over zes domeinen die werden gebruikt voor phishingaanvallen op Microsoft Office 365-gebruikers met als doel het plegen van BEC-fraude (pdf). In tegenstelling tot de meeste phishingaanvallen die wijzen naar een phishingsite maakten de aanvallers achter deze domeinen gebruik van malafide webapplicaties.

Slachtoffers ontvingen e-mails die zogenaamd van hun werkgever of andere legitieme partij afkomstig leken met als onderwerp dat het bestand "COVID-19 Bonus.xlsx" met hen was gedeeld. De link in de e-mail wees echter naar een malafide webapplicatie die toegang tot het Microsoft Office 365-account van de gebruiker vroeg. Wanneer de gebruiker deze toegang verleende kregen de aanvallers controle over e-mail, contacten, notities en andere content die via het account toegankelijk is.

"Deze aanval maakte ongeautoriseerde toegang mogelijk zonder dat slachtoffers hun inloggegevens op een nepwebsite moesten invullen, zoals bij meer traditionele phishingcampagnes het geval is", zegt Microsofts Tom Burt. Microsoft Office 365-gebruikers in 62 landen waren het doelwit van de phishingmails.

De aanvallers achter deze campagne gebruikten de gecompromitteerde accounts voor het plegen van BEC-fraudes. BEC staat voor business e-mail compromise en omvat onder andere ceo-fraude. Via de gekaapte accounts sturen de aanvallers bijvoorbeeld verzoeken naar leveranciers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van de aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen.

Microsoft stelt dat het maatregelen neemt om malafide webapplicaties tegen te gaan, maar dat wanneer criminelen die weten te omzeilen aanvullende acties nodig zijn, zoals de juridische stappen in deze zaak.