LayerX Labs identifierar ny Zero-Hour Phishing-attack som härmar Microsofts säkerhetsmeddelanden

LayerX Labs identifierade en ny noll-dagars nätfiskekampanj som imiterar Microsofts säkerhetsmeddelanden för att locka offer att dela med sig av sina inloggningsuppgifter och betalningsuppgifter. Attacken efterliknar en säkerhetsvarning från Microsoft Windows Defender, som uppmanar användare att ringa ett hotline-nummer, ange sina referenser och ge betalning till callcentret för att "säkra" sin dator.

Eller Eshed Publicerad – 16 oktober 2024

LayerX Labs identifierar ny Zero-Hour Phishing-attack som härmar Microsofts säkerhetsmeddelanden

LayerX Labs identifierade en ny noll-dagars nätfiskekampanj som imiterar Microsofts säkerhetsmeddelanden för att locka offer att dela med sig av sina inloggningsuppgifter och betalningsuppgifter.

Attacken efterliknar en säkerhetsvarning från Microsoft Windows Defender, som uppmanar användare att ringa ett hotline-nummer, ange sina referenser och ge betalning till callcentret för att "säkra" sin dator.

Denna attack kunde penetrera traditionella nätverkssäkerhetsmekanismer som Secure Web Gateways (SWG) och Security Service Edge (SSE)-lösningar eftersom den använder ett antal undanflyktstekniker som är speciellt utformade för att undvika traditionella säkerhetsverktyg

I den här bloggen kommer vi att dela detaljerna om denna incident, förklara vad som gör den unik, förklara varför den halkade igenom traditionella säkerhetsmekanismer och hur du kan skydda dig själv (och din organisation) mot liknande försök.

Incidenten: En Microsoft Alert Scam

Denna attack identifierades i miljön hos en av LayerX:s stora företagskunder, där den kringgick flera lager av nätverkssäkerhetskontroller, men blockerades automatiskt av LayerX innan den kunde orsaka skada.

Attacken använder en enkel men effektiv strategi - en webbsida som liknar en Microsoft Windows Defender-varning som hävdar att deras dator har infekterats med skadlig programvara.

Meddelandet hävdar att användarens enhet var infekterad med skadlig programvara, vilket uppmanar dem att ringa ett supportnummer för omedelbar hjälp.

Användare som försökte lämna sidan fick ett meddelande om att deras enhet var låst, vilket krävde att de angav sina uppgifter för att logga in.

I vissa fall som vi har testat kunde sidkoden få webbläsaren att frysa, efterlikna en säkerhetsblockering av Microsoft och återigen uppmanade dem att ringa det falska numret för säkerhetshjälplinjen.

Denna typ av social ingenjörskonst förgriper sig på brådskan och ångesten hos intet ont anande användare. Genom att simulera en säkerhetsnödsituation uppmanar angripare användare att agera omedelbart så att de inte tar sig tid att granska varningen för noggrant.

Flera lager av risk

Angripare använder vanligtvis nätfisketaktik för att lura användare att dela information eller ge åtkomst till system. Utan avancerad detektering på plats kunde användare ha blivit utsatta för attacken, vilket utsätter dem för risk för:

Ringer det angivna hotlinenumret, där angripare kan manipulera dem till att betala en lösensumma eller ge fjärråtkomst till deras system.
Ange sina referenser till nätfiskesidan, som angriparna kunde stjäla och använda för kontoövertaganden.
Deras användarinformation utnyttjas för mer sofistikerade attacker eller säljs på den mörka webben.

Varför konventionella försvar misslyckades

Många organisationer distribuerar Secure Web Gateway (SWG)-lösning för att hantera surfhot och nätfiskeattacker. Icke desto mindre upptäcktes denna attack hos en LayerX-kund, där denna attack kringgick organisationens SWG. Detta beror på att nätverkslagerförsvar som SWG och e-postgateways vanligtvis är beroende av två primära metoder:

Blockera listor över kända skadliga webbadresser
Signaturer för kända nätfiskesidor

Denna attack kunde kringgå båda av följande skäl:

1. Legitima värddomän

Angriparna var värd för sin nätfiskesida på en legitim Microsoft-värddomän: windows[.]net.

Windows[.]net är en plattform från Microsoft för utvecklare att vara värd för .net- och Azure-webbapplikationer. Detta innebär att nätfiskesidan fanns på Microsofts egen infrastruktur. Som ett resultat fick sidan högt rykte för toppdomänen (TLD).

Detta gjorde att den för en utomstående observatör framstod som en legitim sida av Microsoft, och gjorde det möjligt för den att kringgå traditionella URL-baserade försvar.

Även om en URL-baserad försvarslösning identifierade skadlig aktivitet, skulle den vanligtvis inte blockera ULR, eftersom blockering av alla underdomäner under "windows.net" skulle störa otaliga legitima tjänster som Microsoft är värd för, vilket skulle orsaka driftsproblem för organisationer.

2. Randomiserade underdomäner med noll timmar

Angriparna använde sig av randomiserade underdomäner för att undvika upptäckt. LayerX labs fångade "pushalm83e.z13.web.core.windows[.]net". Dessa domänsträngar kan dock enkelt genereras och ofta roteras.

Detta gör att angripare kan säkerställa att sidan inte matchar någon befintlig hotintelligens eller webbadresssvarta listor på plats. Denna taktik, ofta kallad en "nolltimmars"-teknik, tillåter nätfiskewebbplatser att vara online precis tillräckligt länge för att fånga offer innan de tas ner och roteras till en annan randomiserad underdomän.

3. Låg phishing-kitlikhet

Utformningen av nätfiskesidan var ny och matchade inte befintliga mallar, hash och signaturer som vanligtvis ses i nätfiskepaket. Detta gjorde det möjligt för sidan att undvika upptäckt genom lösningar som förlitade sig på nätfiske-sidans likhetsanalys.

Kontroller som endast förlitar sig på nätfiskemallar och listor, utan att inspektera själva webbsidans innehåll, kommer att kringgås av avancerade och kreativa attacker.

Trots dessa egenskaper kunde LayerX ändå upptäcka och blockera denna attack i tid.

Varför LayerX upptäcktes när äldre försvar misslyckades

Till skillnad från traditionella nätverkssäkerhetsverktyg, som främst förlitar sig på listor över kända dåliga webbadresser, skyddar LayerX mot nätfiske och social ingenjörskonst genom att utnyttja URL-filtrering med realtidsanalys av sidans beteende.

LayerX:s realtidsanalys av webbinnehåll förlitar sig inte enbart på domänens rykte eller statiska signaturer. Istället använder den ett AI-drivet neuralt nätverk för att upptäcka riskfaktorer i realtid, även för tidigare osynliga attacker. Som ett resultat, när nätfiskesidan försökte uppmana användare att ange autentiseringsuppgifter eller ringa ett supportnummer, identifierade LayerX:s lösning omedelbart detta försök, flaggade det som misstänkt och blockerade automatiskt sidan, vilket förhindrade potentiell skada.

LayerX är den första lösningen som tar sig an utmaningen att säkra den mest riktade och exponerade attackytan idag – webbläsaren, utan att påverka användarupplevelsen.

LayerX levererar omfattande skydd för alla webburna hot med kontinuerlig övervakning, riskanalys och realtidstillämpning av alla händelser och användaraktivitet i surfsessionen.

Företag utnyttjar dessa möjligheter för att säkra sina enheter, identiteter, data och SaaS-appar från webbburna hot och surfrisker som slutpunkts- och nätverkslösningar inte kan skydda mot. Dessa inkluderar blockering av dataläckage över webben, SaaS-appar och GenAI-verktyg, förhindrande av identitetsstöld från nätfiske, upprätthållande av säker åtkomst till SaaS-resurser av intern eller extern arbetsstyrka för att minska risken för kontoövertagande, upptäckt och inaktivering av skadliga webbläsartillägg , Shadow SaaS och mer.

LayerX Enterprise Browser Extension integreras med vilken webbläsare som helst och gör den till den säkraste och mest hanterbara arbetsytan. Läs mer.

Eller Eshed

Eller Eshed är medgrundare och VD för webbläsarsäkerhetsplattformen LayerX, med över ett decenniums erfarenhet av cybersäkerhet, artificiell intelligens och informationskrigföring.

Allt-i-ett-plattformen för AI och webbläsarsäkerhet

Hantering av webbläsartillägg Webb/SaaS DLP Identitetsskydd GenAI säkerhet Shadow SaaS Safe Browsing Säker åtkomst

LayerX Labs identifierar ny Zero-Hour Phishing-attack som härmar Microsofts säkerhetsmeddelanden

Incidenten: En Microsoft Alert Scam

Flera lager av risk

Varför konventionella försvar misslyckades

1. Legitima värddomän

2. Randomiserade underdomäner med noll timmar

3. Låg phishing-kitlikhet

Varför LayerX upptäcktes när äldre försvar misslyckades

Eller Eshed

Allt-i-ett-plattformen för AI och webbläsarsäkerhet

Innehållsförteckning

Få det senaste från LayerX

Relaterade resurser

Blogginlägg

AI-verktyget i din webbläsare är förmodligen den största säkerhetsrisken du inte tänker på

Blogginlägg

Vibe Hacking: Claude Code kan omvandlas till ett attackverktyg på nationsnivå utan någon kodning alls

Blogginlägg

Generativ AI har omskrivit säkerhetsreglerna; Så här möter LayerX och Intel nuet

AI-användningssäkerhet

Säkerhet för företagswebbläsare

LayerX Enterprise GenAI-säkerhetsrapport 2025

Partners

Om oss

LayerX Enterprise GenAI-säkerhetsrapport 2025

Resurser

Tilläggsdatabas

Blogg och podd

Företagswebbläsare

AI-säkerhet

LayerX vs. konkurrenter

LayerX Labs identifierar ny Zero-Hour Phishing-attack som härmar Microsofts säkerhetsmeddelanden

Incidenten: En Microsoft Alert Scam

Flera lager av risk

Varför konventionella försvar misslyckades

1. Legitima värddomän

2. Randomiserade underdomäner med noll timmar

3. Låg phishing-kitlikhet

Varför LayerX upptäcktes när äldre försvar misslyckades

Eller Eshed

Allt-i-ett-plattformen för AI och webbläsarsäkerhet

Innehållsförteckning

Få det senaste från LayerX

Relaterade resurser

Blogginlägg

AI-verktyget i din webbläsare är förmodligen den största säkerhetsrisken du inte tänker på

Blogginlägg

Vibe Hacking: Claude Code kan omvandlas till ett attackverktyg på nationsnivå utan någon kodning alls

Blogginlägg

Generativ AI har omskrivit säkerhetsreglerna; Så här möter LayerX och Intel nuet