Microsoft Threat Intelligence виявила кампанію, у якій було використано скомпрометований бізнес-акаунт електронної пошти. Повідомлення надсилалися самому відправнику, а справжні жертви були приховані у полі отримувачів листа яких не видно.
Вкладений файл мав назву, що імітувала PDF, але фактично містив SVG-контент зі скриптами. Усередині коду були приховані елементи, стилізовані під бізнес-панель, а при відкритті файл перенаправляв користувача на фейкову CAPTCHA-сторінку. Після проходження цієї перевірки жертву скеровували на підроблений сайт входу для викрадення облікових даних.
Як Microsoft виявили атаку
Система Microsoft Defender for Office 365, використовуючи AI-інструменти, виявила підозрілі ознаки: самонадіслані листи з прихованими адресатами у полі отримувачів листа, SVG-файл, замаскований під PDF, перенаправлення на фішинговий сайт, прихований код у вкладенні та методи відстеження на підробленій сторінці; атаку швидко зупинили, і вона торкнулася переважно компаній у США.
