Обережно! Фішингові атаки стають розумнішими завдяки перевірці електронної пошти в реальному часі
Кіберзлочинці піднімають планку новим тривожним поворотом у крадіжці облікових даних, використовуючи перевірку електронної пошти в реальному часі, щоб зробити фішингові атаки ефективнішими та важчими для виявлення. Дослідники з Cofense визначили цю розвиваючу тактику та назвали її «фішингом із перевіркою точності» — методом, який звужує список цільових адрес лише до тих електронних адрес, які підтверджено як активні та цінні.
На відміну від традиційних фішингових кампаній, які закидають широку сітку та сподіваються на кілька укусів, цей новий підхід є точним і обдуманим. Замість того щоб надсилати шахрайські сторінки входу випадковим користувачам, зловмисники спочатку перевіряють, чи існує адреса електронної пошти, введена на фішинговій сторінці, у їхній базі даних попередньо зібраних цілей. У разі перевірки жертві відкривається підроблений екран входу, призначений для викрадення облікових даних. Якщо ні, вони перенаправляються на безпечний сайт, як-от Вікіпедія, що допомагає фішинговому сайту уникнути виявлення автоматизованими сканерами безпеки.
Ця перевірка в реальному часі стала можливою завдяки вбудованому API або інструменту перевірки електронної пошти на основі JavaScript у набір для фішингу. Результат? Краща якість викрадених даних, менше зусиль і фішингова кампанія, яку інструментам кібербезпеки складніше виявити та закрити.
Зміст
Фільтрування жертв для максимального впливу
Cofense попереджає, що ця техніка не тільки збільшує ймовірність викрадення облікових даних із реальних облікових записів, що використовуються, але й ускладнює роботу автоматизованих програм ізольованих програм і інструментів сканера, призначених для виявлення шкідливих веб-сайтів. Ці системи часто не проходять перевірку валідації, що дозволяє фішинговій сторінці залишатися активною довше та не позначатися як підозріла.
Цей рівень фільтрації дає учасникам загроз велику перевагу. Зосереджуючись на перевірених цілях, вони зменшують ризики ризику та підвищують рентабельність інвестицій. Ця тактика також допомагає продовжити термін служби фішингових кампаній, ускладнюючи захисникам не відставати.
Фішинговий трюк із видаленням файлів використовує двосторонню атаку
Зловмисники поєднують ці передові тактики зі стратегіями соціальної інженерії. Одна нещодавно спостережена кампанія використовує нагадування про видалення файлів як приманку. Жертви отримують електронний лист із посиланням на PDF-файл, запланований до видалення з законної платформи для розміщення файлів files.fm. Натиснувши посилання, вони справді переходять до справжньої служби хостингу, де вони можуть отримати доступ до того, що виглядає як PDF-файл.
Ось у чому заковика: користувачі мають два варіанти — попередній перегляд або завантаження. Попередній перегляд відкриває підроблену сторінку входу Microsoft, призначену для збору облікових даних, тоді як завантаження запускає встановлення виконуваного файлу під виглядом Microsoft OneDrive. Програма насправді є ScreenConnect, законним інструментом віддаленого робочого столу від ConnectWise, яким часто зловживають загрозливі особи для несанкціонованого доступу.
За словами Cofense, атака вміло розроблена для маніпулювання поведінкою користувачів. Жертви змушені вибирати між двома однаково небезпечними варіантами, кожен з яких різними способами призводить до компрометації їхньої системи. Це двостороннє налаштування гарантує, що суб’єкт загрози досягне своєї мети, будь то викрадення облікових даних або розгортання зловмисного програмного забезпечення.
Фішинг у поєднанні з віддаленим доступом і тактикою Vishing
Іншою тривожною подією є те, що дослідники кібербезпеки виявили багатоетапну кампанію атак, яка поєднує фішинг із телефонним шахрайством (вішинг), інструментами віддаленого доступу та технікою «життя поза межами землі». Ця складна операція узгоджується з групою учасників загрози Storm-1811 (також відомою як STAC5777).
Атака починається з повідомлення Microsoft Teams, яке містить шкідливе корисне навантаження PowerShell. Після отримання початкового доступу зловмисники використовують функцію Quick Assist від Microsoft для дистанційного керування системою. Звідти вони встановлюють законне програмне забезпечення, як-от TeamViewer, разом із завантаженою зловмисною бібліотекою DLL і, нарешті, розгортають командно-контрольний бекдор на основі JavaScript за допомогою Node.js.
Ці випадки підкреслюють зростаючу складність і креативність сучасних фішингових загроз. Завдяки тактиці, яка поєднує технічну витонченість і психологічні маніпуляції, зловмисникам вдається обійти традиційний захист і обдурити навіть обережних користувачів.
Найкращим захистом залишається пильність. Організації повинні бути в курсі цих нових загроз, а користувачі повинні двічі подумати, перш ніж клацати посилання, вводити облікові дані або завантажувати файли — незалежно від того, наскільки законними вони можуть виглядати.