Óvakodik! Az adathalász támadások okosabbak lesznek a valós idejű e-mail-ellenőrzéssel
A kiberbűnözők a hitelesítő adatok eltulajdonításának új, zavaró fordulatával emelik a mércét, valós idejű e-mail-ellenőrzést alkalmazva az adathalász támadások hatékonyabbá és nehezebben észlelhetővé tétele érdekében. A Cofense kutatói azonosították ezt a fejlődő taktikát, és „precíziósan érvényesítő adathalászatnak” nevezték el – ez a módszer leszűkíti a céllistát azokra az e-mail-címekre, amelyekről megerősítették, hogy aktívak és értékesek.
Ellentétben a hagyományos adathalász kampányokkal, amelyek széles hálót vetnek ki, és néhány harapást remélnek, ez az új megközelítés precíz és megfontolt. Ahelyett, hogy csalárd bejelentkezési oldalakat küldenének véletlenszerű felhasználóknak, a támadók először ellenőrzik, hogy az adathalász oldalon megadott e-mail-cím létezik-e az előre legyűjtött célpontokat tartalmazó adatbázisukban. Ha kijelentkezik, az áldozatnak egy hamis bejelentkezési képernyő jelenik meg, amelyet hitelesítő adatok ellopására terveztek. Ha nem, akkor átirányítják őket egy jóindulatú webhelyre, például a Wikipédia-ra, amely segít az adathalász webhelynek elkerülni, hogy az automatikus biztonsági szkennerek észleljék.
Ezt a valós idejű ellenőrzést egy API- vagy JavaScript-alapú e-mail-ellenőrző eszköz beágyazása teszi lehetővé az adathalász készletbe. Az eredmény? Jobb minőségű ellopott adatok, kevesebb elpazarolt erőfeszítés és adathalász kampány, amelyet a kiberbiztonsági eszközök nehezebben észlelnek és leállítanak.
Tartalomjegyzék
Áldozatok szűrése a maximális hatás érdekében
A Cofense arra figyelmeztet, hogy ez a technika nemcsak a valódi, használatban lévő fiókok hitelesítő adatainak ellopásának esélyét növeli, hanem megnehezíti a rosszindulatú webhelyek elkapására tervezett automatizált homokozók és feltérképező eszközök munkáját is. Ezek a rendszerek gyakran nem felelnek meg az érvényesítési ellenőrzésen, így az adathalász oldal tovább aktív marad, és elkerülhető, hogy gyanúsként jelöljék meg.
A szűrés ezen szintje nagy előnyt jelent a fenyegetés szereplői számára. Az ellenőrzött célpontok nullázásával csökkentik a kitettség kockázatát és növelik a befektetés megtérülését. Ez a taktika is segít meghosszabbítani az adathalász kampányok élettartamát, megnehezítve a védők lépést tartását.
A fájltörlési adathalász trükk kétirányú támadást használ
Növeli a veszélyt, hogy a támadók ezeket a fejlett taktikákat társadalmi tervezési stratégiákkal rétegezik. Egy nemrégiben megfigyelt kampány fájltörlési emlékeztetőket használ csaliként. Az áldozatok egy e-mailt kapnak, amely úgy tűnik, hogy egy törvényes fájltároló platformról, a files.fm-ről törölni tervezett PDF-re mutat. A linkre kattintva valóban a valódi tárhelyszolgáltatáshoz jutnak el, ahol hozzáférhetnek egy PDF-fájlnak tűnő fájlhoz.
Itt van a csapás: a felhasználóknak két lehetőség közül választhatnak: előnézet vagy letöltés. Az előnézet megnyílik egy hamis Microsoft bejelentkezési oldal, amelynek célja a hitelesítő adatok begyűjtése, a letöltés pedig egy Microsoft OneDrive-nak álcázott végrehajtható fájl telepítését indítja el. A program valójában a ScreenConnect, egy legitim távoli asztali eszköz a ConnectWise-től, amelyet a fenyegetés szereplői gyakran visszaélnek jogosulatlan hozzáférés miatt.
A Cofense szerint a támadást okosan tervezték a felhasználói viselkedés manipulálására. Az áldozatok kénytelenek választani két egyformán veszélyes lehetőség közül, amelyek mindegyike különböző módon vezet a rendszerük kompromittálásához. Ez a két részből álló beállítás biztosítja, hogy a fenyegetés szereplője elérje célját, legyen szó hitelesítő adatok ellopásáról vagy rosszindulatú programok telepítéséről.
Adathalászat távoli hozzáféréssel és Vishing taktikával keverve
Egy másik riasztó fejleményként a kiberbiztonsági kutatók egy többlépcsős támadási kampányt tártak fel, amely ötvözi az adathalászatot a telefonos csalásokkal (vishing), a távoli elérési eszközökkel és a "földön kívüli élet" technikákkal. Ez a kifinomult művelet összhangban van a Storm-1811 (STAC5777 néven is ismert) fenyegetések szereplőivel.
A támadás egy Microsoft Teams-üzenettel kezdődik, amely rosszindulatú PowerShell rakományt tartalmaz. A kezdeti hozzáférés megszerzése után a támadók a Microsoft Quick Assist funkcióját használják a rendszer távoli vezérlésére. Innentől kezdve legitim szoftvereket, például TeamViewert telepítenek egy oldalról betöltött rosszindulatú DLL mellé, és végül telepítenek egy JavaScript-alapú parancs- és vezérlési hátsó ajtót a Node.js használatával.
Ezek az incidensek rávilágítanak a mai adathalász fenyegetések egyre összetettebbé és kreatívabbá válására. A technikai kifinomultságot és a pszichológiai manipulációt ötvöző taktikával a támadók megkerülik a hagyományos védekezést, és még az óvatos felhasználókat is átverik.
A legjobb védekezés továbbra is az éberség. A szervezeteknek folyamatosan tájékozódniuk kell ezekről a feltörekvő fenyegetésekről, és a felhasználóknak kétszer is meg kell gondolniuk, mielőtt hivatkozásokra kattintanak, hitelesítő adatokat adnak meg vagy fájlokat töltenek le – függetlenül attól, hogy azok mennyire legitimnek tűnnek.