Фишинг под Microsoft Defender атакует японских пользователей

Исследователи выявили масштабную фишинговую кампанию, ориентированную на Japanese users и построенную вокруг поддельных страниц Microsoft Defender, размещённых на Azure Storage.

Анализ показал сложный набор для tech support scam, специально созданный для Japanese users и распространяемый через websites, размещённые на Azure. Кампания маскируется под Microsoft Defender и использует фишинговый контент, чтобы вынудить жертв позвонить по указанному номеру телефона поддержки.

Особенность этой схемы — сочетание social engineering, динамической подстановки контента и распределённой infrastructure. По данным отчёта, злоумышленники используют электронные письма, имитирующие legitimate Microsoft messages, при этом в качестве приманки применяется привлекающая внимание тема на Japanese language.

Как работает схема

В основе кампании лежит JavaScript-компонент, который регулярно обращается к заранее подготовленному hosting и извлекает номер телефона поддержки жертвы. Обновление происходит каждые 6–12 seconds, что позволяет операторам легко менять phone numbers на разных phishing pages без необходимости повторного развёртывания инфраструктуры.

Сами диалоговые окна фишинга скрыты с использованием AES-256-CBC. Ключ шифрования выводится из hash URL-адреса, а подлинность данных подтверждается с помощью жёстко заданного 32-character HMAC-SHA256 key. По оценке исследователей, стабильность этого HMAC key на всех экземплярах создаёт удобный механизм для fingerprinting и оперативной идентификации набора.

Инфраструктура кампании

Судебно-медицинская экспертиза связала аферу с несколькими internal servers, расположенными преимущественно на domain realslimshady, а также с дополнительной поддержкой со стороны abrakadabra.it.com и неконки.топ.

Отдельное внимание в отчёте уделено масштабу инфраструктуры:

• обнаружено 257 unique subdomains на Azure Storage;
• каждый из них связан с backend-системами кампании;
• архитектура обеспечивает устойчивость phishing-операции и высокую масштабируемость.

Что видит жертва

После расшифровки страницы демонстрируют поддельный интерфейс Microsoft Defender, оформленный в тревожной манере. Текст насыщен technical jargon, поддельными warning messages и командами, которые подталкивают пользователя к немедленным действиям.

Главная цель — убедить жертву, что её device якобы compromise’нут, и заставить позвонить по displayed phone number. При этом номера не соответствуют standard Japanese formats, что, по мнению исследователей, указывает на использование VoIP numbers для создания ложного ощущения срочности.

Как можно противодействовать

Отчёт подчёркивает, что видимость кампании можно существенно ограничить за счёт блокировки paste-host domain и всех связанных Azure links. Для defenders также предлагается:

• мониторинг исходящих запросов к указанным доменам;
• внедрение YARA rules для выявления новых наборов с похожими text patterns;
• поиск JavaScript-функций, характерных для этой инфраструктуры;
• оперативная изоляция связки между paste и host.

Как отмечается в отчёте, разрыв связи между paste и host может фактически остановить всю campaign одним быстрым действием. Это подчёркивает, насколько критичны архитектурные решения, заложенные злоумышленниками в основу данной аферы.

Вывод

Исследованная операция демонстрирует, как современные phishing-campaigns сочетают cloud infrastructure, динамический JavaScript и социальную инженерию для масштабирования атак. В данном случае злоумышленники сделали ставку на доверие к бренду Microsoft Defender, на автоматизацию подмены phone numbers и на распределённую сеть Azure Storage, рассчитанную на долгую жизнь кампании.

Для специалистов по безопасности этот кейс важен прежде всего тем, что он показывает: иногда достаточно нарушить один ключевой элемент цепочки — и вся схема теряет работоспособность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.