Оповещения Microsoft Azure Monitor используются злоумышленниками для рассылки фишинговых писем с обратным звонком, имитирующих предупреждения от команды безопасности Microsoft о несанкционированных списаниях с учетной записи.
Azure Monitor — это облачный сервис мониторинга от Microsoft, который собирает и анализирует данные из ресурсов, приложений и инфраструктуры Azure. Он позволяет пользователям отслеживать производительность, уведомлять об изменениях в выставлении счетов, обнаруживать проблемы и инициировать оповещения на основе различных условий.
За последний месяц многочисленные пользователисообщили о получении оповещений Azure Monitor с предупреждениями о подозрительных списаниях или активности по счетам, призывающих позвонить по указанному номеру телефона.
“Описание правила оповещения УВЕДОМЛЕНИЕ О БИЛЛИНГЕ И БЕЗОПАСНОСТИ УЧЕТНОЙ ЗАПИСИ MICROSOFT CORPORATION (ССЫЛКА: MS-FRA-6673829-KP). Наша система обнаружила потенциально несанкционированное списание с вашей учетной записи. Детали транзакции: Продавец: Windows Defender. Идентификатор транзакции: PP456-887A-22B. Сумма: 389.90 USD. Дата: 03/05/2026l,” — гласит поддельное уведомление о списании.
“Для вашей защиты эта транзакция временно приостановлена нашей командой по выявлению мошенничества. Чтобы избежать возможной блокировки учетной записи или дополнительных сборов, пожалуйста, немедленно подтвердите эту транзакцию. Если вы НЕ авторизовали этот платеж, свяжитесь с нашей круглосуточной службой поддержки безопасности учетных записей Microsoft по телефону +1 (864) 347-2494 или +1 (864) 347-4846.”
“Приносим извинения за возможные неудобства и благодарим за оперативный ответ. Команда безопасности учетных записей Microsoft.”
В отличие от других фишинговых кампаний, эти сообщения не подделаны, а отправляются непосредственно с платформы Microsoft Azure Monitor с использованием легитимного адреса электронной почты azure-noreply@microsoft.com.
Поскольку электронные письма отправляются через легитимные почтовые платформы Microsoft, они проходят проверки безопасности SPF, DKIM и DMARC, что придает им больший вес.
Authentication-Results: relay.mimecast.com;
dkim=pass header.d=microsoft.com header.s=s1024-meo header.b=CKfQ8iOB;
arc=pass ("microsoft.com:s=arcselector10001:i=1");
dmarc=pass (policy=reject) header.from=microsoft.com;
spf=pass (relay.mimecast.com: domain of azure-noreply@microsoft.com designates 40.107.200.103 as permitted sender) smtp.mailfrom=azure-noreply@microsoft.com
Злоумышленники проводят эту кампанию, создавая оповещения в Azure Monitor для легко срабатывающих условий, таких как новые заказы, платежи, сгенерированные счета и другие события, связанные с выставлением счетов.
При создании оповещений в поле описания можно ввести любое сообщение, которое атакующие используют для размещения своего фишингового сообщения с обратным звонком.
Затем эти оповещения настраиваются на отправку электронных писем на рассылку, которая, как предполагается, находится под контролем злоумышленника и пересылает письмо всем целевым лицам, задействованным в атаке.
Это также сохраняет исходные заголовки Microsoft и результаты аутентификации, помогая письмам обходить спам-фильтры и подозрения пользователей.
BleepingComputer видел несколько категорий оповещений, используемых в этой кампании, в основном с правилами, связанными со счетами и платежами, разработанными так, чтобы имитировать автоматические уведомления о выставлении счетов:
- Azure monitor alert rule order-22455340 was resolved for invoice22455340
- Azure monitor alert rule Invoice Paid INV-d39f76ef94 was resolved for invd39f76ef94
- Azure monitor alert rule Payment Reference INV-22073494 was resolved for purchase22073494
- Azure monitor alert rule Funds Successfully Received-ec5c7acb41 was triggered for subec5c7acb41
- Azure monitor alert rule MemorySpike-9242403-A4 was triggered
- Azure monitor alert rule DiskFull-3426456-A6 was triggered for locker3426456
Кампания основана на создании ощущения срочности, в данном случае — необычное списание в размере 389 долларов за Windows Defender, чтобы заставить пользователей позвонить по указанному номеру телефона.
Хотя BleepingComputer не звонил по этому номеру в рамках данной схемы, предыдущие кампании фишинга с обратным звонком приводили к краже учетных данных, мошенничеству с платежами или установке программного обеспечения для удаленного доступа.
Поскольку эти электронные письма используют более корпоративную или деловую тематику, они могут быть нацелены на получение первоначального доступа к корпоративным сетям для последующих атак.
Пользователям следует с подозрением относиться к любым оповещениям Azure или Microsoft, содержащим номер телефона или срочный запрос на решение проблем с выставлением счетов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
