LATEST
Η CPS αποκάλυψε νέα καμπάνια phishing
Πρόσφατα, οι ειδικοί ασφάλειας e-mail της Check Point Software αποκάλυψαν μια κακόβουλη καμπάνια phishing, στην οποία οι επιτιθέμενοι προσποιούνται ότι είναι υπηρεσίες διαμοίρασης αρχείων και e-signature, αποστέλλοντας παραπλανητικές ειδοποιήσεις με οικονομικό περιεχόμενο, που μοιάζουν απολύτως νόμιμες.
Στο συγκεκριμένο περιστατικό, οι δράστες απέστειλαν περισσότερα από 40.000 phishing e-mails, στοχεύοντας περίπου 6.100 επιχειρήσεις μέσα σε διάστημα δύο εβδομάδων. Όλοι οι κακόβουλοι σύνδεσμοι διοχετεύτηκαν μέσω μιας συγκεκριμένης διεύθυνσης, αυξάνοντας την αξιοπιστία τους, καθώς μιμούνταν γνωστά μοτίβα ανακατεύθυνσης.
Οι επιτιθέμενοι καταχράστηκαν το χαρακτηριστικό secure-link rewriting του Mimecast, χρησιμοποιώντας το ως κάλυψη για να κάνουν τους κακόβουλους συνδέσμους να φαίνονται ασφαλείς και πιστοποιημένοι. Δεδομένου ότι το Mimecast Protect θεωρείται έμπιστος τομέας, η τεχνική αυτή βοηθά στην παράκαμψη αυτοματοποιημένων φίλτρων, αλλά και στην αποφυγή υποψίας από τους χρήστες.
Για να ενισχύσουν περαιτέρω την αξιοπιστία της απάτης, τα e-mails αναπαρήγαγαν επίσημα οπτικά στοιχεία υπηρεσιών, όπως λογότυπα των Microsoft και Office προϊόντων, χρησιμοποίησαν παρόμοια headers και footers, πλήκτρα τύπου «Review Document», καθώς και παραποιημένα εμφανιζόμενα ονόματα όπως «X via SharePoint (Online)», «eSignDoc via Y», «SharePoint», μιμούμενα πολύ πιστά την εμφάνιση πραγματικών ειδοποιήσεων υπηρεσιών συνεργασίας και διαμοίρασης εγγράφων.
Παράλληλα με τη μεγάλη καμπάνια που μιμείται υπηρεσίες SharePoint και e-signing, οι ερευνητές εντόπισαν μια μικρότερη αλλά συναφή επιχείρηση, η οποία προσποιείται ειδοποιήσεις DocuSign. Όπως και η κύρια επίθεση, έτσι και αυτή βασίζεται στην απομίμηση μιας έμπιστης SaaS πλατφόρμας και αξιοποιεί νόμιμες υποδομές ανακατεύθυνσης. Ωστόσο, η τεχνική που χρησιμοποιείται για την απόκρυψη του κακόβουλου προορισμού διαφέρει σημαντικά.
Στην κύρια καμπάνια, ο δευτερεύων ανακατευθυντής λειτουργεί ως open redirect, αφήνοντας την τελική phishing διεύθυνση ορατή στο query string, ακόμη και αν έχει «τυλιχθεί» μέσα σε αξιόπιστες υπηρεσίες. Στην παραλλαγή που μιμείται DocuSign, ο σύνδεσμος περνά πρώτα από URL της Bitdefender GravityZone και στη συνέχεια από την υπηρεσία click-tracking του Intercom, με αποτέλεσμα ο πραγματικός προορισμός να παραμένει πλήρως κρυμμένος πίσω από tokenized redirect.
Η καμπάνια στόχευσε κυρίως οργανισμούς στις ΗΠΑ, την Ευρώπη, τον Καναδά, την περιοχή Ασίας – Ειρηνικού (APAC) και τη Μέση Ανατολή, δίνοντας ιδιαίτερη έμφαση στους τομείς της συμβουλευτικής, της τεχνολογίας και των κατασκευών / real estate. Επιπλέον, θύματα εντοπίστηκαν σε κλάδους όπως υγεία, χρηματοοικονομικά, μεταποίηση, media και marketing, μεταφορές και logistics, ενέργεια, εκπαίδευση, λιανεμπόριο, φιλοξενία και ταξίδια, καθώς και σε κυβερνητικές υπηρεσίες.