Uważaj! Ataki phishingowe stają się mądrzejsze dzięki walidacji poczty e-mail w czasie rzeczywistym

Cyberprzestępcy podnoszą poprzeczkę, wprowadzając niepokojący nowy zwrot w kwestii kradzieży danych uwierzytelniających, wykorzystując weryfikację poczty e-mail w czasie rzeczywistym, aby ataki phishingowe były bardziej wydajne i trudniejsze do wykrycia. Naukowcy z Cofense zidentyfikowali tę rozwijającą się taktykę i nazwali ją „precyzyjnym phishingiem weryfikującym” — metodą, która zawęża listę docelową tylko do tych adresów e-mail, które potwierdzono jako aktywne i wartościowe.

W przeciwieństwie do tradycyjnych kampanii phishingowych, które zarzucają szeroką sieć i liczą na kilka kęsów, to nowe podejście jest precyzyjne i celowe. Zamiast wysyłać fałszywe strony logowania do losowych użytkowników, atakujący najpierw sprawdzają, czy adres e-mail wprowadzony na stronie phishingowej znajduje się w ich bazie danych wstępnie zebranych celów. Jeśli się sprawdzi, ofierze zostanie przedstawiony fałszywy ekran logowania zaprojektowany w celu kradzieży danych uwierzytelniających. Jeśli nie, zostanie przekierowana do nieszkodliwej witryny, takiej jak Wikipedia, co pomaga witrynie phishingowej uniknąć wykrycia przez automatyczne skanery bezpieczeństwa.

Ta weryfikacja w czasie rzeczywistym jest możliwa dzięki osadzeniu w zestawie narzędzi do phishingu narzędzia do walidacji wiadomości e-mail opartego na API lub JavaScript. Rezultat? Wyższa jakość skradzionych danych, mniej zmarnowanego wysiłku i kampania phishingowa, którą narzędzia cyberbezpieczeństwa trudniej wykryć i wyłączyć.

Filtrowanie ofiar w celu uzyskania maksymalnego wpływu

Cofense ostrzega, że ta technika nie tylko zwiększa szanse na kradzież danych uwierzytelniających z prawdziwych, używanych kont, ale także komplikuje pracę zautomatyzowanych piaskownic i narzędzi crawler zaprojektowanych do wyłapywania złośliwych witryn. Systemy te często nie przechodzą kontroli poprawności, co pozwala stronie phishingowej pozostać dłużej aktywną i uniknąć oznaczenia jej jako podejrzanej.

Ten poziom filtrowania daje atakującym znaczną przewagę. Skupiając się na zweryfikowanych celach, zmniejszają ryzyko narażenia i zwiększają zwrot z inwestycji. Taktyka ta pomaga również wydłużyć żywotność kampanii phishingowych, utrudniając obrońcom nadążanie.

Atak phishingowy polegający na usuwaniu plików wykorzystuje dwutorowy atak

Dodatkowo, atakujący łączą te zaawansowane taktyki ze strategiami inżynierii społecznej. Jedna z ostatnio zaobserwowanych kampanii wykorzystuje przypomnienia o usunięciu plików jako przynętę. Ofiary otrzymują wiadomość e-mail, która wydaje się zawierać link do pliku PDF przeznaczonego do usunięcia z legalnej platformy hostingu plików, files.fm. Kliknięcie linku faktycznie przenosi ich do prawdziwej usługi hostingu, gdzie mogą uzyskać dostęp do czegoś, co wygląda jak plik PDF.

Oto haczyk: użytkownikom przedstawiane są dwie opcje — podgląd lub pobieranie. Podgląd otwiera fałszywą stronę logowania Microsoft, której celem jest zebranie danych uwierzytelniających, podczas gdy pobieranie uruchamia instalację pliku wykonywalnego podszywającego się pod Microsoft OneDrive. Programem tym jest w rzeczywistości ScreenConnect, legalne narzędzie do zdalnego pulpitu firmy ConnectWise, często nadużywane przez osoby atakujące w celu uzyskania nieautoryzowanego dostępu.

Według Cofense atak jest sprytnie zaprojektowany, aby manipulować zachowaniem użytkownika. Ofiary są zmuszone wybierać między dwiema równie niebezpiecznymi opcjami, z których każda prowadzi do naruszenia ich systemu na różne sposoby. Ta dwutorowa konfiguracja zapewnia, że sprawca zagrożenia osiągnie swój cel, niezależnie od tego, czy jest to kradzież danych uwierzytelniających, czy wdrożenie złośliwego oprogramowania.

Phishing połączony ze zdalnym dostępem i taktyką vishingu

W innym alarmującym wydarzeniu badacze cyberbezpieczeństwa odkryli wieloetapową kampanię ataku, która łączy phishing z oszustwami telefonicznymi (vishing), narzędziami zdalnego dostępu i technikami „życia poza lądem”. Ta wyrafinowana operacja jest zgodna z grupą aktorów zagrożeń Storm-1811 (znaną również jako STAC5777).

Atak rozpoczyna się od wiadomości Microsoft Teams zawierającej złośliwy ładunek PowerShell. Po uzyskaniu początkowego dostępu atakujący używają funkcji Quick Assist firmy Microsoft, aby zdalnie kontrolować system. Stamtąd instalują legalne oprogramowanie, takie jak TeamViewer, wraz z bocznie załadowaną złośliwą biblioteką DLL, a na koniec wdrażają oparte na JavaScript polecenie i kontrolę tylnego wejścia przy użyciu Node.js.

Te incydenty podkreślają rosnącą złożoność i kreatywność dzisiejszych zagrożeń phishingowych. Dzięki taktykom łączącym wyrafinowanie techniczne i manipulację psychologiczną atakujący odnoszą sukcesy w omijaniu tradycyjnych metod obrony i oszukiwaniu nawet ostrożnych użytkowników.

Najlepszą obroną pozostaje czujność. Organizacje muszą być informowane o tych pojawiających się zagrożeniach, a użytkownicy muszą dwa razy się zastanowić, zanim klikną linki, wprowadzą dane uwierzytelniające lub pobiorą pliki — bez względu na to, jak legalne mogą się wydawać.