Будьте осторожны! Фишинговые атаки становятся эффективнее благодаря проверке адресов электронной почты в реальном времени
Киберпреступники поднимают планку с новым тревожным поворотом в краже учетных данных, используя проверку электронной почты в реальном времени, чтобы сделать фишинговые атаки более эффективными и более сложными для обнаружения. Исследователи из Cofense выявили эту развивающуюся тактику и окрестили ее «фишингом с точной проверкой» — методом, который сужает список целей только до тех адресов электронной почты, которые, как подтверждено, являются активными и ценными.
В отличие от традиционных фишинговых кампаний, которые забрасывают широкую сеть и надеются на несколько укусов, этот новый подход является точным и преднамеренным. Вместо того, чтобы отправлять мошеннические страницы входа случайным пользователям, злоумышленники сначала проверяют, что адрес электронной почты, введенный на фишинговой странице, существует в их базе данных заранее собранных целей. Если проверка проходит успешно, жертве предоставляется поддельный экран входа, предназначенный для кражи учетных данных. Если нет, они перенаправляются на безобидный сайт, например Wikipedia, что помогает фишинговому сайту избежать обнаружения автоматическими сканерами безопасности.
Эта проверка в реальном времени становится возможной благодаря встраиванию API или инструмента проверки электронной почты на основе JavaScript в фишинговый набор. Результат? Более высокое качество украденных данных, меньше потраченных впустую усилий и фишинговая кампания, которую сложнее обнаружить и остановить с помощью инструментов кибербезопасности.
Оглавление
Фильтрация жертв для максимального воздействия
Cofense предупреждает, что эта техника не только увеличивает шансы кражи учетных данных из реальных, используемых учетных записей, но и усложняет работу автоматизированных песочниц и инструментов-обходчиков, предназначенных для обнаружения вредоносных веб-сайтов. Эти системы часто не проходят проверку, что позволяет фишинговой странице дольше оставаться активной и не помечаться как подозрительная.
Этот уровень фильтрации дает злоумышленникам большое преимущество. Сосредоточившись на проверенных целях, они снижают риск разоблачения и увеличивают окупаемость инвестиций. Эта тактика также помогает продлить срок действия фишинговых кампаний, что затрудняет задачу защитников.
Фишинговый трюк с удалением файлов использует двухстороннюю атаку
Усугубляя опасность, злоумышленники дополняют эти продвинутые тактики стратегиями социальной инженерии. Одна из недавно наблюдавшихся кампаний использует напоминания об удалении файлов в качестве приманки. Жертвы получают электронное письмо, которое, по-видимому, ссылается на PDF-файл, запланированный к удалению с законной платформы хостинга файлов files.fm. Щелчок по ссылке действительно переносит их на реальный хостинг-сервис, где они могут получить доступ к тому, что выглядит как файл PDF.
Вот в чем подвох: пользователям предлагается два варианта — предварительный просмотр или загрузка. Предварительный просмотр открывает поддельную страницу входа Microsoft, предназначенную для сбора учетных данных, а загрузка запускает установку исполняемого файла, маскирующегося под Microsoft OneDrive. На самом деле программа — ScreenConnect, легитимный инструмент удаленного рабочего стола от ConnectWise, часто используемый злоумышленниками для несанкционированного доступа.
По данным Cofense, атака хитроумно разработана для манипулирования поведением пользователя. Жертвы вынуждены выбирать между двумя одинаково опасными вариантами, каждый из которых ведет к компрометации их системы разными способами. Такая двухсторонняя настройка гарантирует, что злоумышленник достигнет своей цели, будь то кража учетных данных или развертывание вредоносного ПО.
Фишинг в сочетании с удаленным доступом и тактикой вишинга
В другом тревожном развитии событий исследователи кибербезопасности обнаружили многоступенчатую атакующую кампанию, которая сочетает фишинг с телефонным мошенничеством (вишингом), инструментами удаленного доступа и методами «жизни вне земли». Эта сложная операция связана с группой злоумышленников Storm-1811 (также известной как STAC5777).
Атака начинается с сообщения Microsoft Teams, содержащего вредоносную полезную нагрузку PowerShell. Получив начальный доступ, злоумышленники используют функцию Microsoft Quick Assist для удаленного управления системой. Оттуда они устанавливают легальное программное обеспечение, например TeamViewer, вместе с загруженной вредоносной DLL и, наконец, развертывают командно-контрольный бэкдор на основе JavaScript с использованием Node.js.
Эти инциденты подчеркивают растущую сложность и креативность современных фишинговых угроз. Используя тактику, сочетающую техническую изощренность и психологическую манипуляцию, злоумышленники успешно обходят традиционные средства защиты и обманывают даже осторожных пользователей.
Лучшей защитой по-прежнему остается бдительность. Организации должны быть в курсе этих новых угроз, а пользователи должны дважды подумать, прежде чем нажимать на ссылки, вводить учетные данные или загружать файлы — какими бы законными они ни казались.