به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این سرویس اشتراکی که توسط مجرمان سایبری استفاده میشد، از برندینگ مایکروسافت برای ساخت ایمیلها، ضمیمهها و وبسایتهای جعلی بهره میگرفت تا قربانیان را به کلیک روی لینکهای آلوده وادار کند و در نهایت نام کاربری و گذرواژه آنان را سرقت نماید.
راکون او 365 (RaccoonO365) بهصورت اشتراکی با هزینه حدود ۳۶۵ دلار در ماه عرضه میشد و هر روز حدود ۹ هزار آدرس ایمیل را هدف قرار میداد.
این ابزار حتی روشهایی برای دور زدن احراز هویت چندمرحلهای ارائه میکرد تا مهاجمان بتوانند دسترسی پایدار به سیستمهای قربانی داشته باشند.
در اغلب موارد، ایمیلها حاوی پیوستهایی با لینک یا کد QR بودند که پس از یک مرحله CAPTCHA، کاربر را به صفحه لاگین جعلی مایکروسافت او 365 (Microsoft O365) هدایت میکردند.
بر اساس گزارش مایکروسافت، این ابزار دستکم منجر به سرقت ۵ هزار حساب کاربری در ۹۴ کشور شده است.
استیون ماسادا، مشاور حقوقی واحد جرایم دیجیتال مایکروسافت (DCU)، هشدار داد که گسترش و مقیاس این حملات نشان میدهد کلاهبرداریها بهسرعت در حال افزایشاند.
حتی اخیراً نسخهای مجهز به قابلیتهای هوش مصنوعی برای افزایش دامنه حملات منتشر شده است.
تحقیقات مایکروسافت نشان داد که «جاشوا اوگوندیپه»، تبعه نیجریه، چهره اصلی پشت این عملیات بوده است.
او به همراه همکارانش این سرویس را در گروهی با حدود ۸۵۰ عضو در تلگرام تبلیغ و به فروش میرساندند.
مایکروسافت تخمین زده که این گروه از طریق اشتراکها دستکم ۱۰۰ هزار دلار رمزارز دریافت کردهاند، هرچند رقم واقعی احتمالاً بیشتر است.
مقامات مایکروسافت معتقدند اوگوندیپه بیشتر کدنویسی راکون او 365 را انجام داده است و کشف یک کیفپول رمزارزی مخفی سرنخ اصلی تحقیقات بوده است.
این گروه برای پنهان کردن هویت خود دامنههای اینترنتی را با اسامی و آدرسهای جعلی در کشورهای مختلف ثبت کردهاند.
مایکروسافت گزارش فعالیت اوگوندیپه را به نیروهای پلیس بینالملل ارسال کرده است، هرچند درباره اطلاعرسانی به مقامات نیجریه توضیح بیشتری نداده است.
کلودفلر نیز که در این عملیات با مایکروسافت همکاری داشت، اعلام کرد شواهدی مانند استفاده از حروف روسی در نام گروه تلگرامی نشان میدهد احتمال همکاری با مجرمان روسزبان وجود دارد، هرچند مایکروسافت این موضوع را تأیید نکرد.
کلودفلر صدها دامنه و حساب مرتبط با این گروه را از بین برد و اعلام کرد مهاجمان از خدمات آنها و سایر ارائهدهندگان زیرساخت برای پنهانسازی فعالیت خود سوءاستفاده کردهاند.
این کمپینها علاوه بر مایکروسافت، برندهایی مانند ادوبی (Adobe)، مائرسک (Maersk) و داکیوساین (DocuSign) را نیز جعل کرده و فایلهایی شبیه قراردادها، فاکتورها یا مدارک مالی با نام قربانی در عنوان فایل منتشر کردهاند.
مایکروسافت و کلودفلر تأکید کردند که با همکاری نیروهای امنیتی آمریکا توانستهاند عملیات راکون او 365 را بهطور گسترده مختل کنند.
