Stručnjaci za cyber sigurnost upozoravaju na novu vrstu phishing napada u kojoj se osigurava da ukradeni podaci dolaze od stvarnih, aktivnih korisničkih računa.
Ova tehnika je nazvana „precizno-validirajući phishing“ od strane kompanije Cofense, koja je saopštila da se u kampanjama koristi validacija e-mail adresa u stvarnom vremenu, kako bi se lažne login stranice prikazivale samo ciljanim, visokovrijednim metama.
“Ova taktika omogućava prijetnjama visoku uspješnost jer napadači ciljno komuniciraju samo s unaprijed prikupljenim i potvrđenim e-mail adresama,” navodi se u izvještaju kompanije.
Za razliku od tzv. “spray-and-pray” napada — u kojima se spam e-mailovi šalju na desetine hiljada adresa bez obzira na validnost — ova nova metoda predstavlja napredniju verziju spear-phishinga, koja se fokusira isključivo na validirane, legitimne i visokovrijedne adrese.
U ovom scenariju, kada žrtva unese svoju e-mail adresu na phishing stranici, sistem je odmah provjerava u bazi podataka napadača. Ako adresa postoji, prikazuje se lažna login stranica. Ako ne postoji, korisnik dobija grešku ili se preusmjerava na bezopasnu stranicu poput Wikipedije – kako bi se izbjeglo otkrivanje od strane sigurnosnih alata.
Ova provjera vrši se pomoću API-ja ili JavaScript modula koji je integriran u phishing alat i služi za potvrdu e-mail adrese prije nego što se pokuša ukrasti lozinka.
“To povećava efikasnost napada i vjerovatnoću da ukradeni podaci pripadaju stvarnim korisnicima – čime raste vrijednost tih podataka za daljnju prodaju ili zloupotrebu,” objašnjava Cofense.
“Sigurnosni alati koji automatski analiziraju e-mailove često ne uspijevaju otkriti ovakve napade jer ne mogu proći filter validacije. Takva ciljana taktika smanjuje rizik za napadača i produžava vijek trajanja kampanje.”
Phishing uz poruke o brisanju fajlova i distribuciju malvera
Pored toga, Cofense je otkrio i detalje o kampanji koja koristi podsjetnike o brisanju datoteka kao mamac za krađu pristupnih podataka i širenje malvera.
Ova dvostruka taktika uključuje link koji naizgled vodi do PDF dokumenta zakazanog za brisanje sa legitimne platforme files.fm. Kada korisnik klikne na link, vodi se na zaista legitimnu files.fm stranicu odakle može preuzeti dokument.
Međutim, otvaranjem PDF-a korisniku se nude dvije opcije: “pregled” ili “preuzimanje”. Ako korisnik odabere pregled, biva preusmjeren na lažnu Microsoft login stranicu osmišljenu da ukrade njegove podatke za prijavu. Ako izabere preuzimanje, pokreće se izvršna datoteka koja se predstavlja kao Microsoft OneDrive, ali je zapravo ScreenConnect softver za daljinski pristup, koji razvija kompanija ConnectWise.
“Kao da je napadač namjerno dizajnirao napad tako da ‘zarobi’ korisnika – natjeravši ga da bira između dvije opcije, obje opasne,” navodi Cofense. “Oba izbora vode do istog ishoda – krađe podataka, ali različitim metodama.”
Napredni višefazni napad: Vishing, maliciozni PowerShell i Node.js C2 alat
Otkriven je i sofisticirani višefazni napad koji kombinuje vishing (phishing glasovnim pozivima), alate za daljinski pristup i tzv. “living-off-the-land” tehnike za postizanje pristupa i trajnog prisustva u sistemu.
Kompanija Ontinue navodi:
“Napadač je iskoristio otvorene komunikacijske kanale tako što je poslao maliciozni PowerShell kod putem Microsoft Teams poruke, a potom koristio Quick Assist alat za daljinski pristup okruženju.”
Napad je uključivao sljedeće korake:
- Korištenje potpisanih legitimnih programa, poput TeamViewer.exe
- Učitavanje zlonamjernog DLL fajla nazvanog TV.dll
- Konačno pokretanje C2 (command-and-control) backdoora baziranog na JavaScriptu, pomoću Node.js okruženja
Izvor:The Hacker News
