Pozor! Phishingové útoky jsou chytřejší díky ověřování e-mailů v reálném čase
Kyberzločinci zvyšují laťku se znepokojivým novým obratem v oblasti krádeže pověření, pomocí ověřování e-mailů v reálném čase, aby byly phishingové útoky efektivnější a obtížněji odhalitelné. Výzkumníci z Cofense identifikovali tuto vyvíjející se taktiku a nazvali ji „phishing precizní ověřování“ – metoda, která zužuje seznam cílů pouze na ty e-mailové adresy, u kterých bylo potvrzeno, že jsou aktivní a hodnotné.
Na rozdíl od tradičních phishingových kampaní, které vrhají širokou síť a doufají v pár kousnutí, je tento nový přístup přesný a promyšlený. Místo zasílání podvodných přihlašovacích stránek náhodným uživatelům útočníci nejprve ověří, že e-mailová adresa zadaná na phishingové stránce existuje v jejich databázi předem získaných cílů. Pokud se odhlásí, oběti se zobrazí falešná přihlašovací obrazovka určená ke krádeži přihlašovacích údajů. Pokud ne, jsou přesměrováni na benigní web, jako je Wikipedia, což pomáhá phishingové stránce vyhnout se detekci automatickými bezpečnostními skenery.
Toto ověření v reálném čase je možné díky vložení nástroje pro ověřování e-mailů založeného na rozhraní API nebo JavaScriptu do sady pro phishing. Výsledek? Vyšší kvalita odcizených dat, méně zbytečného úsilí a phishingová kampaň, kterou je pro nástroje kybernetické bezpečnosti obtížnější odhalit a vypnout.
Obsah
Filtrování obětí pro maximální dopad
Cofense varuje, že tato technika nejen zvyšuje šance na odcizení přihlašovacích údajů ze skutečných, používaných účtů, ale také komplikuje práci automatických sandboxů a prohledávacích nástrojů určených k odchytu škodlivých webů. Tyto systémy často neprojdou kontrolou ověření, což umožňuje, aby phishingová stránka zůstala déle aktivní a nebyla označena jako podezřelá.
Tato úroveň filtrování dává aktérům hrozeb velkou výhodu. Vynulováním ověřených cílů snižují riziko expozice a zvyšují návratnost investic. Tato taktika také pomáhá prodloužit životnost phishingových kampaní, takže je pro obránce těžší držet krok.
Phishingový trik s mazáním souborů využívá dvoustranný útok
K dalšímu nebezpečí útočníci vrství tyto pokročilé taktiky se strategiemi sociálního inženýrství. Jedna nedávno pozorovaná kampaň používá jako návnadu připomenutí smazání souboru. Oběti obdrží e-mail, který zdánlivě odkazuje na PDF naplánované k odstranění z legitimní platformy pro hostování souborů, files.fm. Kliknutím na odkaz je skutečně přenesete na skutečnou hostingovou službu, kde mohou získat přístup k tomu, co vypadá jako soubor PDF.
Zde je háček: uživatelům se nabízejí dvě možnosti – náhled nebo stažení. Náhled otevře falešnou přihlašovací stránku Microsoftu určenou ke shromažďování přihlašovacích údajů, zatímco stažení spustí instalaci spustitelného souboru maskovaného jako Microsoft OneDrive. Program je ve skutečnosti ScreenConnect, legitimní nástroj vzdálené plochy od ConnectWise, často zneužívaný aktéry hrozeb k neoprávněnému přístupu.
Podle Cofense je útok chytře navržen tak, aby manipuloval s chováním uživatelů. Oběti jsou nuceny volit mezi dvěma stejně nebezpečnými možnostmi, z nichž každá vede jiným způsobem ke kompromitaci jejich systému. Toto dvoustupňové nastavení zajišťuje, že aktér hrozby dosáhne svého cíle, ať už jde o krádež přihlašovacích údajů nebo nasazení malwaru.
Phishing ve spojení se vzdáleným přístupem a taktikou Vishing
V dalším alarmujícím vývoji odhalili výzkumníci v oblasti kybernetické bezpečnosti vícefázovou útočnou kampaň, která kombinuje phishing s telefonními podvody (vising), nástroji pro vzdálený přístup a technikami „života mimo zemi“. Tato sofistikovaná operace je v souladu se skupinou aktérů hrozeb Storm-1811 (také známá jako STAC5777).
Útok začíná zprávou Microsoft Teams obsahující škodlivou zátěž PowerShellu. Po získání počátečního přístupu útočníci použijí funkci Microsoft Quick Assist ke vzdálenému ovládání systému. Odtud instalují legitimní software, jako je TeamViewer, spolu se škodlivou knihovnou DLL načtenou stranou a nakonec nasadí zadní vrátka pro příkazy a ovládání založené na JavaScriptu pomocí Node.js.
Tyto incidenty zdůrazňují rostoucí složitost a kreativitu dnešních phishingových hrozeb. Díky taktice, která kombinuje technickou vyspělost a psychologickou manipulaci, se útočníkům daří obcházet tradiční obranu a oklamat i opatrné uživatele.
Nejlepší obranou nadále zůstává ostražitost. Organizace musí zůstat informovány o těchto nových hrozbách a uživatelé si musí dvakrát rozmyslet, než kliknou na odkazy, zadají přihlašovací údaje nebo stahují soubory – bez ohledu na to, jak legitimní mohou vypadat.