Мошенники используют Microsoft 365 Direct Send для поддельных писем, нацеленных на американские компании

Мошенники используют Microsoft 365 Direct Send для подделки внутренних писем, нацеленных на американские компании, обходя фильтры безопасности с помощью фишинговых атак с использованием поддельных голосовых сообщений и QR-кодов.

Исследователи кибербезопасности из Varonis Threat Labs раскрыли новую сложную фишинговую кампанию, которая использует малоизвестную функцию Microsoft 365 для рассылки вредоносных писем.

Эта атака, начавшаяся в мае 2025 года и продолжающаяся с тех пор, уже затронула более 70 организаций, причем значительное большинство из них (95%) — организации из США.

Уникальным аспектом этой кампании является ее способность «подделывать внутренних пользователей без необходимости взлома учетной записи», что особенно затрудняет ее обнаружение традиционными системами безопасности электронной почты, отметили исследователи в сообщении в блоге, опубликованном на Hackread.com.

Кампания использует функцию Direct Send от Microsoft 365, разработанную для внутренних устройств, таких как принтеры, для отправки писем без необходимости аутентификации пользователя. По словам Варониса, злоумышленники злоупотребляют этой функцией.

Том Барнеа из Varonis Threat Labs подчеркнул в отчете, что этот метод работает, поскольку «не требуется ни логин, ни учетные данные». Злоумышленникам просто нужно несколько общедоступных данных, таких как домен компании и форматы внутреннего адреса электронной почты, которые часто легко угадать.

Используя Direct Send, преступники могут создавать электронные письма, которые выглядят как письма, отправленные из организации, хотя они отправлены из внешнего источника. Это позволяет вредоносным сообщениям обходить обычные проверки безопасности электронной почты, поскольку они часто рассматриваются собственными фильтрами Microsoft и сторонними решениями как легитимные внутренние сообщения.

Более того, Варонис заметил, что эти поддельные письма часто имитируют уведомления голосовой почты, содержащие вложение PDF с QR-кодом. Сканирование этого QR-кода перенаправляет жертв на поддельную страницу входа в Microsoft 365, предназначенную для кражи учетных данных.

Организациям необходимо быть бдительными, чтобы обнаружить эту новую форму атаки. Варонис советует проверять заголовки сообщений электронной почты на наличие таких признаков, как внешние IP-адреса, отправляемые на «умный хост» Microsoft 365 (например, tenantname.mail.protection.outlook.com), или сбои в проверках аутентификации, таких как SPF, DKIM или DMARC для внутренних доменов. Поведенческие подсказки, такие как электронные письма, отправленные пользователями самим себе, или сообщения, исходящие из необычных географических местоположений без какой-либо соответствующей активности входа в систему, также являются сильными индикаторами.

Чтобы не стать жертвой, Varonis рекомендует включить параметр Reject Direct Send в Exchange Admin Center и внедрить строгую политику DMARC. Обучение пользователей является ключевым фактором, в частности, предупреждение персонала об опасностях вложений QR-кодов в атаках Quishing ( QR-фишинг ).

Наконец, применение многофакторной аутентификации (MFA) для всех пользователей и применение политик условного доступа может защитить учетные записи даже в случае кражи учетных данных с помощью таких изощренных фишинговых атак.