Armorblox güvenlik araştırmacıları tarafından detaylandırılan kimlik avı saldırısının, kurbanın kimlik bilgilerini çalan sahte bağlantılarla en az 10 bin Microsoft e-posta kullanıcısını hedeflediği biliniyor. Sahte FedEx mesajları kurbana FedEx dosyaları ile ilgili bir belge, DHL e-postaları ise paketin ulaştığını içeren iletiler gönderiyor.
FedEx kimlik avı kampanyasında gelen e-posta, sahte belgeyle ilgili kimlik numarası, sayfa sayısı ve belge türü gibi yasal görünmesi için bazı bilgiler içeriyor. Kullanıcılar gelen bağlantıya tıklarsa Salesforce için belgeler, elektronik tablolar ve diğer hizmetler sunan Quip’te barındırılan bir dosyaya yönlendiriliyor.
Quip dosyası daha sonra kurbanları Google’ın Firebase’inde barındırılıyor gibi görünen Microsoft oturum açma portalına benzeyen son bir kimlik avı sayfasına götürüyor ve kurbanı bağlantının güvenilir olduğuna ikna ediyor. Daha sonra Microsoft kimlik bilgilerini giren kullanıcılara, kurbandan doğru bilgileri girmesini isteyen ve bilgisayar korsanlarına oturum açma bilgilerini veren bir hata mesajı sunuluyor.
DHL kimlik avı saldırısında ise kullanıcılardan sahte bir sayfaya bilgilerini girmeleri isteniyor. Burada Adobe kimlik bilgileri ya da kullanıcının iş e-posta kimlik bilgileri alınıyor.