Pozor! Phishingové útoky sú inteligentnejšie vďaka overovaniu e-mailov v reálnom čase
Kyberzločinci zvyšujú latku so znepokojivým novým zvratom v oblasti krádeže poverení, pričom využívajú overovanie e-mailov v reálnom čase, aby boli phishingové útoky efektívnejšie a ťažšie odhaliteľné. Výskumníci z Cofense identifikovali túto vyvíjajúcu sa taktiku a nazvali ju „precízny overovací phishing“ – metóda, ktorá zužuje cieľový zoznam len na tie e-mailové adresy, u ktorých sa potvrdilo, že sú aktívne a hodnotné.
Na rozdiel od tradičných phishingových kampaní, ktoré vrhajú širokú sieť a dúfajú v pár súst, je tento nový prístup presný a premyslený. Namiesto odosielania podvodných prihlasovacích stránok náhodným používateľom útočníci najskôr overia, či e-mailová adresa zadaná na phishingovej stránke existuje v ich databáze vopred získaných cieľov. Ak sa odhlási, obeti sa zobrazí falošná prihlasovacia obrazovka určená na ukradnutie poverení. Ak nie, sú presmerovaní na benígnu stránku, ako je Wikipedia, ktorá pomáha phishingovej stránke vyhnúť sa detekcii automatickými bezpečnostnými skenermi.
Toto overenie v reálnom čase je možné vďaka zabudovaniu nástroja na overenie e-mailov založeného na rozhraní API alebo JavaScripte do súpravy na phishing. Výsledok? Vyššia kvalita ukradnutých údajov, menej zbytočného úsilia a phishingová kampaň, ktorú nástroje kybernetickej bezpečnosti ťažšie rozpoznajú a vypnú.
Obsah
Filtrovanie obetí pre maximálny dopad
Cofense varuje, že táto technika nielen zvyšuje šance na odcudzenie prihlasovacích údajov zo skutočných, používaných účtov, ale tiež komplikuje prácu automatických sandboxov a nástrojov na prehľadávanie určených na chytanie škodlivých webových stránok. Tieto systémy často neprejdú kontrolou overenia, čo umožňuje phishingovej stránke zostať aktívnou dlhšie a vyhnúť sa tomu, aby bola označená ako podozrivá.
Táto úroveň filtrovania dáva aktérom hrozby veľkú výhodu. Vynulovaním overených cieľov znižujú riziko vystavenia sa riziku a zvyšujú návratnosť investícií. Táto taktika tiež pomáha predĺžiť životnosť phishingových kampaní, čo sťažuje obrancom držať krok.
Phishingový trik na odstraňovanie súborov využíva dvojstranný útok
K nebezpečenstvu sa pridáva aj to, že útočníci spájajú tieto pokročilé taktiky so stratégiami sociálneho inžinierstva. Jedna nedávno pozorovaná kampaň používa ako návnadu pripomienky vymazania súborov. Obete dostanú e-mail, ktorý zrejme odkazuje na PDF naplánované na odstránenie z legitímnej platformy na hosťovanie súborov, files.fm. Kliknutím na odkaz sa skutočne dostanú do skutočnej hostingovej služby, kde môžu získať prístup k tomu, čo vyzerá ako súbor PDF.
Tu je háčik: používateľom sa ponúkajú dve možnosti – ukážka alebo stiahnutie. Zobrazenie ukážky otvorí falošnú prihlasovaciu stránku spoločnosti Microsoft určenú na zber poverení, zatiaľ čo stiahnutie spustí inštaláciu spustiteľného súboru, ktorý sa vydáva za Microsoft OneDrive. Program je vlastne ScreenConnect, legitímny nástroj vzdialenej pracovnej plochy od ConnectWise, často zneužívaný aktérmi hrozieb na neoprávnený prístup.
Podľa Cofense je útok šikovne navrhnutý tak, aby manipuloval so správaním používateľov. Obete sú nútené vybrať si medzi dvoma rovnako nebezpečnými možnosťami, z ktorých každá vedie ku kompromisu ich systému iným spôsobom. Toto dvojstranné nastavenie zaisťuje, že aktér hrozby dosiahne svoj cieľ, či už ide o krádež poverení alebo nasadenie škodlivého softvéru.
Phishing v kombinácii s vzdialeným prístupom a taktikou Vishing
V ďalšom alarmujúcom vývoji odhalili výskumníci v oblasti kybernetickej bezpečnosti viacstupňovú útočnú kampaň, ktorá spája phishing s telefónnymi podvodmi (vising), nástrojmi vzdialeného prístupu a technikami „života mimo krajiny“. Táto sofistikovaná operácia je v súlade so skupinou aktérov hrozieb Storm-1811 (známa aj ako STAC5777).
Útok sa začína správou Microsoft Teams, ktorá obsahuje škodlivý obsah prostredia PowerShell. Po získaní počiatočného prístupu útočníci použijú funkciu Microsoft Quick Assist na diaľkové ovládanie systému. Odtiaľ inštalujú legitímny softvér, ako je TeamViewer, spolu so škodlivou knižnicou DLL, ktorá je načítaná zo strany, a nakoniec nasadia zadné vrátka príkazov a ovládania založené na JavaScripte pomocou Node.js.
Tieto incidenty poukazujú na zvyšujúcu sa zložitosť a kreativitu súčasných phishingových hrozieb. Pomocou taktiky, ktorá kombinuje technickú vyspelosť a psychologickú manipuláciu, sa útočníkom darí obchádzať tradičnú obranu a oklamať aj opatrných používateľov.
Najlepšou obranou je naďalej ostražitosť. Organizácie musia zostať informované o týchto vznikajúcich hrozbách a používatelia si musia dvakrát rozmyslieť, či kliknú na odkazy, zadajú poverenia alebo stiahnu súbory – bez ohľadu na to, ako legitímne môžu vyzerať.