Служба моніторингу Microsoft Azure Monitor, яка збирає дані з ресурсів Azure, додатків і інфраструктури та надсилає сповіщення про продуктивність, рахунки чи проблеми, почала використовуватися для фішингу з дзвінком. За останній місяць користувачі отримували листи від [email protected], які виглядали як офіційні попередження про несанкціоновані платежі. У повідомленнях йшлося про підозрілу транзакцію у 389,90 доларів від «Windows Defender», а для «захисту облікового запису» пропонувалося негайно зателефонувати за номерами вказаними у листі. Фішингові листи створювалися через правила сповіщень Azure Monitor з описом на кшталт «MICROSOFT CORPORATION BILLING AND ACCOUNT SECURITY NOTICE», де зловмисники вставляли свій текст. Сповіщення надсилалися через легітимну платформу Microsoft, тому проходили перевірки SPF, DKIM і DMARC і виглядали автентичними. Зловмисники створювали правила для подій на кшталт «нове замовлення», «оплата рахунку», «кошти успішно отримані» або навіть «MemorySpike» і «DiskFull», а потім спрямовували їх на свою розсилку, яка пересилає листи жертвам. Це дозволяло зберегти оригінальні заголовки Microsoft і обійти спам-фільтри. Кампанія створювала відчуття терміновості, щоб змусити людей зателефонувати.

Попередні подібні фішингові кампанії з дзвінком призводили до крадіжки облікових даних, шахрайства з платежами або встановлення програм віддаленого доступу. Листи часто мали корпоративний стиль, що могло бути спрямоване на отримання початкового доступу до корпоративних мереж для подальших атак. Зловмисники використовували правила сповіщень для різних категорій: «Azure monitor alert rule order-22455340», «Invoice Paid INV-d39f76ef94», «Payment Reference INV-22073494», «Funds Successfully Received-ec5c7acb41» та інші. Оскільки листи йшли безпосередньо від Microsoft, вони здавалися надійними, але містили заклик до негайної дії — зателефонувати в «Microsoft Account Security Support».