Как сообщает Report со ссылкой на агентство, расследование показало, что в рамках кампании злоумышленники рассылали фишинговые письма, используя названия организаций, работающих в сферах транспорта, нефтегазовой отрасли, международной торговли и развития деловых связей, а также ранее скомпрометированные официальные электронные почтовые ящики для создания впечатления достоверности.

Письма распространялись преимущественно под заголовками "Shared a File" и "New secure message from". Пользователей перенаправляли на поддельные порталы обмена документами, где предпринимались попытки получить их учетные данные.

Технический анализ установил, что при атаке применялась технология "Adversary-in-the-Middle" (AiTM). В рамках данной схемы пользователь перенаправляется на фальшивую страницу авторизации, где в режиме реального времени перехватываются логин, пароль, а также коды многофакторной аутентификации (MFA/2FA).

Кроме того, злоумышленникам передаются браузерные cookie-файлы, связанные с сессией аутентификации. Это позволяет атакующей стороне обходить двухфакторную защиту и получать несанкционированный доступ к учетной записи пользователя.

Национальное агентство кибербезопасности рекомендует гражданам и организациям не переходить по ссылкам из неожиданных электронных писем с уведомлениями о "совместном доступе к документу" или "защищенном сообщении", а также проверять достоверность таких сообщений через альтернативные каналы связи.

В агентстве также призвали пользователей внимательно проверять правильность адреса login.microsoftonline.com при авторизации и ни при каких обстоятельствах не вводить пароли и коды подтверждения на подозрительных интернет-страницах.

При выявлении подозрительной активности граждане и организации могут обратиться в Национальное агентство кибербезопасности по электронной почте info@cert.az или через горячую линию "1654".