مراقب باشید! حملات فیشینگ با اعتبارسنجی ایمیل در زمان واقعی هوشمندتر می شوند

مجرمان سایبری با استفاده از اعتبارسنجی ایمیل بلادرنگ برای کارآمدتر کردن حملات فیشینگ و شناسایی سخت‌تر، میله‌های جدید نگران‌کننده را در سرقت مدارک بالا می‌برند. محققان در Cofense این تاکتیک در حال تکامل را شناسایی کرده‌اند و آن را «فیشینگ اعتبارسنجی دقیق» نامیده‌اند - روشی که فهرست هدف را فقط به آن آدرس‌های ایمیلی که فعال و ارزشمند بودن آنها تأیید شده است محدود می‌کند.

برخلاف کمپین‌های فیشینگ سنتی که شبکه گسترده‌ای را ایجاد می‌کنند و امید به چند لقمه دارند، این رویکرد جدید دقیق و عمدی است. مهاجمان به جای ارسال صفحات لاگین جعلی برای کاربران تصادفی، ابتدا تأیید می کنند که آدرس ایمیل وارد شده در صفحه فیشینگ در پایگاه داده آنها از اهداف از پیش برداشت شده وجود دارد. اگر بررسی شود، یک صفحه ورود جعلی به قربانی ارائه می شود که برای سرقت اعتبار طراحی شده است. در غیر این صورت، آنها به یک سایت خوش خیم مانند ویکی پدیا هدایت می شوند، که به سایت فیشینگ کمک می کند تا توسط اسکنرهای امنیتی خودکار شناسایی نشود.

این راستی‌آزمایی بلادرنگ با تعبیه یک ابزار اعتبارسنجی ایمیل مبتنی بر API یا جاوا اسکریپت در کیت فیشینگ امکان‌پذیر است. نتیجه؟ داده های دزدیده شده با کیفیت بالاتر، تلاش کمتر هدر رفته و یک کمپین فیشینگ که شناسایی و بسته شدن آن برای ابزارهای امنیت سایبری دشوارتر است.

فیلتر کردن قربانیان برای حداکثر تأثیر

Cofense هشدار می‌دهد که این تکنیک نه تنها شانس سرقت اعتبار از حساب‌های واقعی و در حال استفاده را افزایش می‌دهد، بلکه کار سندباکس‌های خودکار و ابزارهای خزنده طراحی‌شده برای دستگیری وب‌سایت‌های مخرب را نیز پیچیده می‌کند. این سیستم‌ها اغلب نمی‌توانند از بررسی اعتبارسنجی عبور کنند و به صفحه فیشینگ اجازه می‌دهند مدت بیشتری فعال بماند و از علامت‌گذاری مشکوک جلوگیری شود.

این سطح از فیلتر کردن به عوامل تهدید یک مزیت بزرگ می دهد. آنها با به صفر رساندن اهداف تأیید شده، خطر قرار گرفتن در معرض آنها را کاهش می دهند و بازده سرمایه خود را افزایش می دهند. این تاکتیک همچنین به افزایش طول عمر کمپین‌های فیشینگ کمک می‌کند و نگه‌داشتن مدافعان را سخت‌تر می‌کند.

ترفند فیشینگ حذف فایل از حمله دو طرفه استفاده می کند

علاوه بر این خطر، مهاجمان این تاکتیک های پیشرفته را با استراتژی های مهندسی اجتماعی لایه بندی می کنند. یکی از کمپین‌هایی که اخیرا مشاهده شده است از یادآوری‌های حذف فایل به عنوان طعمه استفاده می‌کند. قربانیان ایمیلی دریافت می‌کنند که به نظر می‌رسد به یک پی‌دی‌اف برنامه‌ریزی‌شده برای حذف از یک پلتفرم میزبانی فایل قانونی، files.fm، پیوند دارد. کلیک کردن روی پیوند در واقع آنها را به سرویس میزبانی واقعی می برد، جایی که می توانند به چیزی که شبیه یک فایل PDF است دسترسی پیدا کنند.

نکته اینجاست: کاربران با دو گزینه پیش نمایش یا دانلود ارائه می شوند. پیش‌نمایش صفحه ورود جعلی مایکروسافت را باز می‌کند که برای جمع‌آوری اعتبارنامه‌ها در نظر گرفته شده است، در حالی که دانلود باعث نصب برنامه اجرایی با نام Microsoft OneDrive می‌شود. این برنامه در واقع ScreenConnect است، یک ابزار دسکتاپ از راه دور قانونی از ConnectWise، که اغلب توسط عوامل تهدید برای دسترسی غیرمجاز مورد سوء استفاده قرار می گیرد.

به گفته Cofense، این حمله هوشمندانه برای دستکاری رفتار کاربر طراحی شده است. قربانیان مجبور می شوند بین دو گزینه به همان اندازه خطرناک یکی را انتخاب کنند که هر کدام به روش های مختلف منجر به سازش سیستم آنها می شود. این راه‌اندازی دو طرفه تضمین می‌کند که عامل تهدید به هدف خود، خواه سرقت اعتبار یا استقرار بدافزار باشد.

فیشینگ با دسترسی از راه دور و تاکتیک‌های Vishing ترکیب شده است

در یکی دیگر از پیشرفت‌های هشداردهنده، محققان امنیت سایبری یک کمپین حمله چند مرحله‌ای را کشف کرده‌اند که فیشینگ را با کلاهبرداری‌های تلفنی (ویشینگ)، ابزارهای دسترسی از راه دور و تکنیک‌های «زندگی خارج از زمین» ترکیب می‌کند. این عملیات پیچیده با گروه عامل تهدید Storm-1811 (همچنین به عنوان STAC5777 شناخته می شود) همسو می شود.

حمله با یک پیام مایکروسافت تیمز حاوی یک بار مخرب PowerShell شروع می شود. هنگامی که دسترسی اولیه به دست آمد، مهاجمان از ویژگی Quick Assist مایکروسافت برای کنترل از راه دور سیستم استفاده می کنند. از آنجا، آنها نرم افزار قانونی مانند TeamViewer را در کنار یک DLL مخرب جانبی نصب می کنند و در نهایت یک درب پشتی فرمان و کنترل مبتنی بر جاوا اسکریپت را با استفاده از Node.js مستقر می کنند.

این حوادث پیچیدگی و خلاقیت فزاینده تهدیدات فیشینگ امروزی را برجسته می کند. با تاکتیک‌هایی که پیچیدگی فنی و دستکاری روانی را ترکیب می‌کند، مهاجمان موفق می‌شوند از دفاع‌های سنتی دور زده و حتی کاربران محتاط را فریب دهند.

بهترین دفاع همچنان هوشیاری است. سازمان‌ها باید در مورد این تهدیدات نوظهور مطلع باشند و کاربران باید قبل از کلیک کردن روی پیوندها، وارد کردن اعتبارنامه‌ها یا دانلود فایل‌ها دو بار فکر کنند – مهم نیست چقدر مشروع به نظر می‌رسند.