Napadi krađe identiteta mogu se izvršiti na različite načine, kao što su SMS i telefonski pozivi, ali najrasprostranjenija metoda uključuje slanje e-poruka žrtvama koje sadrže zlonamjerne priloge.
Oni mogu biti u različitim oblicima, ali najčešće pripadaju jednoj od sljedećih kategorija: izvršne datoteke, uredski dokumenti, arhive, PDF-ovi ili veze.
Pogledajmo bliže ove vrste i ispitajmo primjere nedavnih phishing napada koji koriste takve metode isporuke malvera.
1. Izvršne datoteke
Korištenje izvršnog priloga e-pošte je najjednostavniji, ali najočitiji način izvođenja phishing napada. Ogoljeni zlonamjerni .exe fajl ne samo da podiže alarm kod osobe koja na nju naiđe, već će vjerovatno pokrenuti i sigurnosni sistem.
Da izvršne datoteke budu malo manje sumnjive, hakeri ih mogu prikriti u legitimne dokumente, slike ili ažuriranja softvera, koristeći nazive koji zvuče bezazleno kao što su “finansijski izvještaj” ili “faktura”.
Ove datoteke najčešće dolaze s odgovarajućim e-porukama za koje se čini da su iz renomiranih izvora, poput banke ili dobavljača softvera.
Napadači mogu koristiti alternativne tipove izvršnih datoteka kako bi prevarili potencijalnu žrtvu bez dovoljno kompjuterskog znanja da ih otvori. To uključuje .msi, .dll i .scr datoteke, koje, zahvaljući upotrebi različitih ekstenzija, rade slično kao one .exe.
Primjer:
Detalji o zlonamjernom procesu prikazani u zaštićenom okruženju ANY.RUN
Hajde da analiziramo uzorak izvršne datoteke za phishing u sandboxu. U ovom primjeru možemo vidjeti kako se AgentTesla malware isporučuje na sistem putem .exe datoteke prerušene u PDF.
Ima lažno ime „BANK SWIFT.pdf____“, što može biti dovoljno da zbuni potencijalnu žrtvu i navede je da ga pokrene.y
2. Office dokumenti
Sledeći uobičajeni tip phishing napada uključuje distribuciju Word, Excel, PowerPoint dokumenata s ugrađenim zlonamjernim makroima, skriptama ili eksploatacijama.
Nakon otvaranja, zlonamjerni sadržaj unutar dokumenta se izvršava, što često dovodi do instaliranja zlonamjernog softvera ili krađe osjetljivih informacija.
Primjer:
Suricata pravilo se koristi za otkrivanje zlonamjerne aktivnosti AgentTesla
U ovom primjeru , sandbox analiza otkriva upotrebu CVE-2017-11882, ranjivosti koja omogućava napadačima da izvrše zlonamjerni kod iskorištavanjem greške u Microsoft Equation Editoru.
Otvaranjem zaražene Excel datoteke, žrtva pokreće lanac izvršavanja, što na kraju dovodi do zaraze AgentTeslom.
3. Arhive
Arhiviranje u phishing napadima se uglavnom koristi kao osnovno sredstvo za izbjegavanje otkrivanja.
Stavljanje zlonamjernog softvera unutar datoteke .ZIP, .RAR ili bilo kojeg drugog arhivskog formata omogućava hakerima da zaobiđu sigurnosna rješenja koja možda neće skenirati komprimovane datoteke tako temeljito kao nekomprimovane.
Kriminalci takođe mogu koristiti različite formate kompresije, šifriranje ili zaštitu lozinkom kako bi istraživačima sigurnosti i automatizovanim alatima otežali analizu sadržaja arhive.
Sakrivanjem zlonamjernog tereta unutar arhive, zlonamjerni softver ima veće šanse da se uspješno infiltrira u ciljni sistem.
Primjer:
ANY.RUN sandbox omogućava ručno otvaranje i izvršavanje datoteka
U ovom napadu, sandbox nam omogućava da bezbjedno analiziramo i detoniramo arhivu koja sadrži zlonamerni izvršni fajl.
Obratite pažnju na to kako se arhiva i fajl koji sadrži nazivaju “Documento_Fiscal_Detallado”, što još jednom pokazuje kako napadači koriste legitimna zvučna imena da zavaraju žrtve.
Možemo vidjeti kako se sistem inficira sa AsyncRAT-om nakon pokretanja arhivirane izvršne datoteke.
4. PDF-ovi
Primarni način korištenja PDF-ova u phishing-u je njihovo ugrađivanje sa zlonamjernom vezom. Ove veze su obično napravljene tako da liče na legitimne dokumente.
Klikom na link unutar PDF-a, korisnici pokreću sljedeću fazu napada, koja može uključivati krađu njihovih kredencijala za prijavu, ličnih podataka ili se na kraju završiti učitavanjem malvera na njihov sistem.
Primjer:
Sandbox nam omogućava da prođemo kroz svaku fazu napada
Evo primjera PDF datoteke koja sadrži phishing vezu. U tom slučaju, klikom na ovaj link korisnik preuzima arhivu koja sadrži zlonamjernu izvršnu datoteku. Posljednja faza napada je postavljanje DBatLoader-a koji nastavlja s izbacivanjem svog korisnog opterećenja.
5. URL-ovi
Konačno, izuzetno rasprostranjena phishing metoda temelji se na zlonamjernim vezama koje se šalju kao dio e-pošte. Kako bi ovi URL-ovi izgledali autentičniji, sajber kriminalci često koriste skraćivanje URL-ova, typosquatting ili homografske napade kako bi napravili zlonamjerne veze.
Nakon što klikne na njega, žrtva se preusmjerava na lažnu web stranicu koja može ukrasti njihove kredencijale za prijavu, lične podatke ili ih natjerati da preuzmu malver i izvrše ga.
Primjer:
Lažna stranica za prijavu u Outlook
Ova sandbox sesija prikazuje popularni phishing napad koji pokušava prevariti korisnike da unesu svoju lozinku na lažnoj MS Outlook stranici. Napadači takođe zloupotrebljavaju legitimnu uslugu IPFS.io za hostovanje svoje stranice kako bi izgledala vjerodostojnija.
Analizirajte phishing u ANY.RUN
ANY.RUN-ov sandbox baziran na oblaku idealan je za analizu phishing napada, s potpuno interaktivnim Windows i Linux VM okruženjima.
Krenite sa učitanim datotekama i URL-ovima da biste pratili napad, izvršili sve potrebne istražne aktivnosti i stekli detaljan pregled mrežnog prometa, promjena registra, aktivnih procesa, TTP-ova i još mnogo toga.
Izvor: CyberSecurityNews
