Atenție! Atacurile de phishing devin mai inteligente cu validarea e-mailurilor în timp real
Criminalii cibernetici ridică ștacheta cu o nouă întorsătură tulburătoare în ceea ce privește furtul de acreditări, folosind validarea e-mailurilor în timp real pentru a face atacurile de phishing mai eficiente și mai greu de detectat. Cercetătorii de la Cofense au identificat această tactică în evoluție și au numit-o „phishing-ul de validare a preciziei” – o metodă care restrânge lista țintă la doar acele adrese de e-mail confirmate a fi active și valoroase.
Spre deosebire de campaniile tradiționale de phishing care lansează o plasă largă și speră la câteva mușcături, această nouă abordare este precisă și deliberată. În loc să trimită pagini de conectare frauduloase către utilizatori aleatori, atacatorii verifică mai întâi dacă adresa de e-mail introdusă pe o pagină de phishing există în baza lor de date cu ținte pre-recoltate. Dacă se verifică, victimei i se prezintă un ecran de conectare fals conceput pentru a fura acreditările. Dacă nu, acestea sunt redirecționate către un site benign precum Wikipedia, care ajută site-ul de phishing să evite detectarea de către scanere automate de securitate.
Această verificare în timp real este posibilă prin încorporarea unui instrument de validare a e-mailurilor bazat pe API sau JavaScript în kitul de phishing. Rezultatul? Date furate de calitate superioară, mai puțin efort irosit și o campanie de phishing care este mai dificil de detectat și oprit de instrumentele de securitate cibernetică.
Cuprins
Filtrarea victimelor pentru impact maxim
Cofense avertizează că această tehnică nu numai că mărește șansele de a fura acreditările din conturi reale, aflate în uz, dar complică și munca sandbox-urilor automate și a instrumentelor crawler concepute pentru a captura site-uri web rău intenționate. Aceste sisteme nu reușesc adesea să treacă verificarea de validare, permițând paginii de phishing să rămână activă mai mult timp și să evite să fie semnalată ca suspectă.
Acest nivel de filtrare oferă actorilor amenințărilor un avantaj major. Prin concentrarea asupra țintelor verificate, își reduc riscul de expunere și își măresc rentabilitatea investiției. Tactica ajută, de asemenea, la prelungirea duratei de viață a campaniilor de phishing, făcându-le mai greu pentru apărători să țină pasul.
Trucul de phishing pentru ștergerea fișierelor folosește atacuri în două direcții
Adăugând pericolului, atacatorii îmbină aceste tactici avansate cu strategii de inginerie socială. O campanie observată recent folosește mementouri de ștergere a fișierelor ca momeală. Victimele primesc un e-mail care pare să trimită către un PDF programat pentru ștergere de pe o platformă legitimă de găzduire a fișierelor, files.fm. Făcând clic pe link, îi duce într-adevăr la serviciul de găzduire real, unde pot accesa ceea ce arată ca un fișier PDF.
Iată problema: utilizatorilor li se prezintă două opțiuni: previzualizare sau descărcare. Previzualizarea deschide o pagină de autentificare Microsoft falsă, menită să colecteze acreditări, în timp ce descărcarea declanșează instalarea unui executabil mascalat ca Microsoft OneDrive. Programul este de fapt ScreenConnect, un instrument legitim de desktop la distanță de la ConnectWise, adesea abuzat de actorii amenințărilor pentru acces neautorizat.
Potrivit Cofense, atacul este proiectat inteligent pentru a manipula comportamentul utilizatorului. Victimele sunt forțate să aleagă între două opțiuni la fel de periculoase, fiecare ducând la compromisul sistemului lor în moduri diferite. Această configurare în două direcții asigură că actorul amenințării își atinge obiectivul, fie că este vorba de furtul de acreditări sau de implementarea de malware.
Phishing combinat cu acces la distanță și tactici de vishing
Într-o altă evoluție alarmantă, cercetătorii în domeniul securității cibernetice au descoperit o campanie de atac în mai multe etape care îmbină phishing-ul cu escrocherii telefonice (vishing), instrumente de acces la distanță și tehnici de „a trăi din pământ”. Această operațiune sofisticată se aliniază cu grupul de amenințări Storm-1811 (cunoscut și ca STAC5777).
Atacul începe cu un mesaj Microsoft Teams care conține o sarcină utilă PowerShell rău intenționată. Odată ce accesul inițial este obținut, atacatorii folosesc caracteristica Microsoft Quick Assist pentru a controla de la distanță sistemul. De acolo, instalează software legitim, cum ar fi TeamViewer, alături de un DLL rău intenționat și, în cele din urmă, implementează o ușă de comandă și control bazată pe JavaScript folosind Node.js.
Aceste incidente evidențiază complexitatea și creativitatea în creștere a amenințărilor de phishing de astăzi. Cu tactici care combină sofisticarea tehnică și manipularea psihologică, atacatorii reușesc să ocolească apărările tradiționale și să păcălească chiar și utilizatorii precauți.
Cea mai bună apărare continuă să fie vigilența. Organizațiile trebuie să rămână informate cu privire la aceste amenințări emergente, iar utilizatorii trebuie să se gândească de două ori înainte de a face clic pe linkuri, de a introduce acreditări sau de a descărca fișiere – indiferent cât de legitime ar părea acestea.