En ny storskalig phishing-kampanj utnyttjar falska kalenderinbjudningar för att stjäla inloggningsuppgifter och installera fjärrstyrningsverktyg hos amerikanska organisationer. Attacken kombinerar flera tekniker i en enda operation, vilket gör den svår att upptäcka.

Så fungerar attacken

Offret får ett mail som ser ut som en inbjudan till ett företagsevent. Länken leder först till en CAPTCHA-sida (ofta utformad som en Cloudflare-kontroll) som filtrerar bort automatiska skanners. Därefter hamnar användaren på en evenemangsida som kräver inloggning för att "se inbjudan".

Härifrån kan attacken gå två vägar:

• Stöld av inloggningsuppgifter och engångskoder: Användaren ombeds välja e-postleverantör och logga in. Sidan visar alltid "Fel lösenord" efter första försöket för att få offret att skriva in uppgifterna en gång till. Sedan fångas även engångskoden (OTP), vilket ger angriparna full åtkomst trots tvåfaktorsautentisering.
• Installation av fjärrstyrningsverktyg: Sidan laddar ner legitima RMM-verktyg som ScreenConnect, ITarian, Datto RMM, ConnectWise eller LogMeIn Rescue. Eftersom dessa verktyg används av IT-avdelningar normalt väcker de sällan larm.

Varför det är svårt att upptäcka

Varje steg i kedjan (CAPTCHA, evenemangsida, inloggning, RMM-installation) ser normalt ut var för sig. Tillsammans bildar de en komplett attackkedja från lockbete till full kontroll över kontot eller datorn.

Kampanjen bygger på ett återanvändbart ramverk

Enligt forskare på ANY.RUN använder angriparna ett phishing-kit som gör det enkelt att skapa nya evenemangsidor i stor skala. Domännamnen refererar ofta till fester, inbjudningar eller hälsningar. URL-mönster och resurssökvägar (som /blocked.html, /favicon.ico och /Image/*.png) är konsekventa, vilket ger säkerhetsteam konkreta indikatorer att söka efter i nätverksloggar.

Rekommendationer

Säkerhetsteam bör vara extra vaksamma på evenemangsrelaterade inbjudningar som leder till externa domäner eller upprepade inloggningsuppmaningar. Övervaka även oauktoriserade RMM-installationer och använd dynamiska analysverktyg för att undersöka misstänkta inbjudningar i en säker miljö.