Il team di Microsoft 365 Defender avverte di una serie di attacchi informatici di credential stuffing rivolti solo agli account amministratore per i quali non è abilitata l’autenticazione a più fattori (MFA).
Con l’aiuto di account rubati, gli aggressori ottengono l’accesso iniziale al server, creano un’applicazione OAuth dannosa che aggiunge un nuovo connettore dannoso e una serie di regole per aggirare i sistemi di rilevamento.
Successivamente, le e-mail di phishing vengono inviate dai server di Exchange. In genere, queste campagne e-mail sono state lanciate utilizzando le infrastrutture Amazon SES e Mail Chimp utilizzate per inviare e-mail di marketing.
Dopo aver scoperto gli attacchi, Microsoft ha rimosso tutte le applicazioni dannose e ha inviato avvisi a tutti i clienti interessati.
Secondo gli esperti, gli hacker avevano diversi obiettivi:
- Ottenere i dettagli della carta di credito delle vittime;
- Effettuare vari abbonamenti malevoli;
- Ricevi denaro per la consegna di un premio inesistente.
E tutti questi obiettivi sono stati raggiunti con l’aiuto di e-mail di spam.
Ora Microsoft afferma che diversi clienti interessati potrebbero aver perso dei soldi, ma non di più: non sono state rilevate minacce alla sicurezza.
