Исследователи кибербезопасности предупреждают о фишинговых кампаниях, которые используют сотрудников Cloudflare для обслуживания фишинговых сайтов, которые используются для сбора учетных данных пользователей, связанных с веб-почтой Microsoft, Gmail, Yahoo! и cPanel.
Метод атаки, называемый прозрачным фишингом или фишингом "злоумышленник посередине" (AitM), "использует работников Cloudflare в качестве обратного прокси-сервера для легитимной страницы входа, перехватывая трафик между жертвой и страницей входа для получения учетных данных, файлов cookie и токенов", - сказал в отчете исследователь Netskope Ян Майкл Алькантара.
Большинство фишинговых кампаний, размещенных на Cloudflare Workers за последние 30 дней, были нацелены на жертв в Азии, Северной Америке и Южной Европе, охватывая технологии, финансовые услуги и банковский сектор.
Компания по кибербезопасности сообщила, что увеличение трафика на фишинговые страницы, размещенные Cloudflare Workers, впервые было зарегистрировано во втором квартале 2023 года, отметив, что наблюдается резкий рост общего количества отдельных доменов, увеличившийся с немногим более 1000 в четвертом квартале 2023 года до почти 1300 в первом квартале 2024 года.
В фишинговых кампаниях используется техника, называемая контрабандой HTML, которая включает использование вредоносного JavaScript для сбора вредоносной полезной нагрузки на стороне клиента в обход мер безопасности. Это также служит для освещения сложных стратегий, используемых участниками угроз для развертывания и выполнения атак на целевые системы.
Отличие в данном случае заключается в том, что вредоносной полезной нагрузкой является фишинговая страница, которая реконструируется и отображается пользователю в веб-браузере.
Фишинговая страница, со своей стороны, призывает жертву войти в Microsoft Outlook или Office 365 (теперь Microsoft 365), чтобы просмотреть предполагаемый PDF-документ. Если они последуют этому примеру, поддельные страницы входа, размещенные на Cloudflare Workers, будут использованы для сбора их учетных данных и кодов многофакторной аутентификации (MFA).
"Вся фишинговая страница создается с использованием модифицированной версии инструментария Cloudflare AitM с открытым исходным кодом", - сказал Майкл Алькантара. "Как только жертва получает доступ к странице входа злоумышленника, злоумышленник собирает метаданные ее веб-запроса".
"Как только жертва введет свои учетные данные, она войдет в систему на законном веб-сайте, и злоумышленник в ответ получит токены и файлы cookie. Кроме того, злоумышленник также будет иметь доступ к любым дополнительным действиям, которые жертва выполняет после входа в систему. "
Контрабанда HTML как механизм доставки полезной нагрузки все чаще используется злоумышленниками, которые хотят обойти современные средства защиты, позволяя обслуживать мошеннические HTML-страницы и другое вредоносное ПО, не вызывая никаких тревожных сигналов.
В одном случае, выделенном Huntress Labs, поддельный HTML-файл используется для внедрения iframe легитимного портала аутентификации Microsoft, который извлекается из домена, контролируемого участником.
"Это имеет признаки фишинг-атаки с прозрачным прокси-сервером в обход MFA, но использует полезную нагрузку контрабанды HTML с введенным iframe вместо простой ссылки", - сказал исследователь безопасности Мэтт Кили.
Еще одна кампания, привлекшая внимание, связана с фишинговыми электронными письмами на тему счетов, содержащими HTML-вложения, которые маскируются под страницы входа в программу просмотра PDF, чтобы украсть учетные данные учетной записи электронной почты пользователей, прежде чем перенаправлять их на URL, содержащий так называемое "подтверждение платежа".
В последние годы фишинговые атаки по электронной почте принимали различные формы, в том числе с использованием инструментов "фишинг как услуга" (PhaaS), таких как Greatness, для кражи учетных данных Microsoft 365 и обхода MFA с использованием метода AitM, при этом злоумышленники вставляют QR-коды в PDF-файлы и используют проверки CAPTCHA, прежде чем перенаправлять жертв на поддельную страницу входа.
Финансовые услуги, производство, энергетика / коммунальные услуги, розничная торговля и консалтинговые компании, расположенные в США, Канаде, Германии, Южной Корее и Норвегии, стали основными секторами, на которые нацелена программа Greatness PhaaS.
"Эти сервисы предлагают расширенные возможности, которые привлекают злоумышленников, экономя их время на разработку и тактику уклонения", - сказали исследователи Trellix.
Разработчики угроз постоянно находят новые способы перехитрить системы безопасности и распространять вредоносное ПО, прибегая к генеративному искусственному интеллекту (GenAI) для создания эффективных фишинговых электронных писем и доставки сжатых файловых вложений, содержащих чрезмерно большую полезную нагрузку вредоносного ПО (размером более 100 МБ) в надежде избежать анализа.
"Сканирование файлов большего размера требует больше времени и ресурсов, что может снизить общую производительность системы в процессе сканирования", - сказали в компании по кибербезопасности. "Чтобы минимизировать большой объем памяти, некоторые антивирусные программы могут устанавливать ограничения по размеру для сканирования, что приводит к пропуску файлов большого размера".
Метод раздувания файлов рассматривался как уловка атаки для доставки дополнительных вредоносных программ, таких как Agent Tesla, AsyncRAT, Quasar RAT и Remcos RAT, добавлено в нем.
Более того, враждебное использование GenAI для разработки эксплойтов и генерации глубоких подделок различными участниками угроз подчеркивает необходимость надежных мер безопасности, этических принципов и механизмов надзора.
Эти нововведения в обход традиционных механизмов обнаружения также распространились на такие кампании, как TrkCdn, SpamTracker и SecShow, которые используют туннелирование системы доменных имен (DNS) для отслеживания того, когда их цели открывают фишинговые электронные письма и переходят по вредоносным ссылкам, отслеживают доставку спама, а также сканируют сети жертв на предмет потенциальных уязвимостей.
"Метод DNS-туннелирования, используемый в кампании TrkCdn, предназначен для отслеживания взаимодействия жертвы с содержимым ее электронной почты", - говорится в отчете, опубликованном ранее в этом месяце, 42-го подразделения Palo Alto Networks, добавляющем, что злоумышленники встраивают в электронное письмо содержимое, которое при открытии выполняет DNS-запрос к поддоменам, контролируемым злоумышленником.
"[SpamTracker] использует электронные письма и ссылки на веб-сайты для рассылки спама и фишингового контента. Цель кампании - заманить жертв перейти по ссылкам, за которыми злоумышленники скрывают свою полезную информацию в поддоменах."
Выводы также сделаны на фоне всплеска вредоносных рекламных кампаний, которые используют в своих интересах вредоносную рекламу популярного программного обеспечения в результатах поисковой системы, чтобы обманом заставить пользователей устанавливать программы для кражи информации и трояны удаленного доступа, такие как SectopRAT (он же ArechClient).
Кроме того, были замечены злоумышленники, создающие поддельные страницы, имитирующие финансовые учреждения, такие как Barclays, которые предоставляют законное программное обеспечение для удаленного рабочего стола, такое как AnyDesk, под видом предложения поддержки в чате, предоставляя им удаленный доступ к системам в процессе.
Метод атаки, называемый прозрачным фишингом или фишингом "злоумышленник посередине" (AitM), "использует работников Cloudflare в качестве обратного прокси-сервера для легитимной страницы входа, перехватывая трафик между жертвой и страницей входа для получения учетных данных, файлов cookie и токенов", - сказал в отчете исследователь Netskope Ян Майкл Алькантара.
Большинство фишинговых кампаний, размещенных на Cloudflare Workers за последние 30 дней, были нацелены на жертв в Азии, Северной Америке и Южной Европе, охватывая технологии, финансовые услуги и банковский сектор.
Компания по кибербезопасности сообщила, что увеличение трафика на фишинговые страницы, размещенные Cloudflare Workers, впервые было зарегистрировано во втором квартале 2023 года, отметив, что наблюдается резкий рост общего количества отдельных доменов, увеличившийся с немногим более 1000 в четвертом квартале 2023 года до почти 1300 в первом квартале 2024 года.
В фишинговых кампаниях используется техника, называемая контрабандой HTML, которая включает использование вредоносного JavaScript для сбора вредоносной полезной нагрузки на стороне клиента в обход мер безопасности. Это также служит для освещения сложных стратегий, используемых участниками угроз для развертывания и выполнения атак на целевые системы.
Отличие в данном случае заключается в том, что вредоносной полезной нагрузкой является фишинговая страница, которая реконструируется и отображается пользователю в веб-браузере.
Фишинговая страница, со своей стороны, призывает жертву войти в Microsoft Outlook или Office 365 (теперь Microsoft 365), чтобы просмотреть предполагаемый PDF-документ. Если они последуют этому примеру, поддельные страницы входа, размещенные на Cloudflare Workers, будут использованы для сбора их учетных данных и кодов многофакторной аутентификации (MFA).
"Вся фишинговая страница создается с использованием модифицированной версии инструментария Cloudflare AitM с открытым исходным кодом", - сказал Майкл Алькантара. "Как только жертва получает доступ к странице входа злоумышленника, злоумышленник собирает метаданные ее веб-запроса".
"Как только жертва введет свои учетные данные, она войдет в систему на законном веб-сайте, и злоумышленник в ответ получит токены и файлы cookie. Кроме того, злоумышленник также будет иметь доступ к любым дополнительным действиям, которые жертва выполняет после входа в систему. "
Контрабанда HTML как механизм доставки полезной нагрузки все чаще используется злоумышленниками, которые хотят обойти современные средства защиты, позволяя обслуживать мошеннические HTML-страницы и другое вредоносное ПО, не вызывая никаких тревожных сигналов.
В одном случае, выделенном Huntress Labs, поддельный HTML-файл используется для внедрения iframe легитимного портала аутентификации Microsoft, который извлекается из домена, контролируемого участником.
"Это имеет признаки фишинг-атаки с прозрачным прокси-сервером в обход MFA, но использует полезную нагрузку контрабанды HTML с введенным iframe вместо простой ссылки", - сказал исследователь безопасности Мэтт Кили.
Еще одна кампания, привлекшая внимание, связана с фишинговыми электронными письмами на тему счетов, содержащими HTML-вложения, которые маскируются под страницы входа в программу просмотра PDF, чтобы украсть учетные данные учетной записи электронной почты пользователей, прежде чем перенаправлять их на URL, содержащий так называемое "подтверждение платежа".
В последние годы фишинговые атаки по электронной почте принимали различные формы, в том числе с использованием инструментов "фишинг как услуга" (PhaaS), таких как Greatness, для кражи учетных данных Microsoft 365 и обхода MFA с использованием метода AitM, при этом злоумышленники вставляют QR-коды в PDF-файлы и используют проверки CAPTCHA, прежде чем перенаправлять жертв на поддельную страницу входа.
Финансовые услуги, производство, энергетика / коммунальные услуги, розничная торговля и консалтинговые компании, расположенные в США, Канаде, Германии, Южной Корее и Норвегии, стали основными секторами, на которые нацелена программа Greatness PhaaS.
"Эти сервисы предлагают расширенные возможности, которые привлекают злоумышленников, экономя их время на разработку и тактику уклонения", - сказали исследователи Trellix.
Разработчики угроз постоянно находят новые способы перехитрить системы безопасности и распространять вредоносное ПО, прибегая к генеративному искусственному интеллекту (GenAI) для создания эффективных фишинговых электронных писем и доставки сжатых файловых вложений, содержащих чрезмерно большую полезную нагрузку вредоносного ПО (размером более 100 МБ) в надежде избежать анализа.
"Сканирование файлов большего размера требует больше времени и ресурсов, что может снизить общую производительность системы в процессе сканирования", - сказали в компании по кибербезопасности. "Чтобы минимизировать большой объем памяти, некоторые антивирусные программы могут устанавливать ограничения по размеру для сканирования, что приводит к пропуску файлов большого размера".
Метод раздувания файлов рассматривался как уловка атаки для доставки дополнительных вредоносных программ, таких как Agent Tesla, AsyncRAT, Quasar RAT и Remcos RAT, добавлено в нем.
Более того, враждебное использование GenAI для разработки эксплойтов и генерации глубоких подделок различными участниками угроз подчеркивает необходимость надежных мер безопасности, этических принципов и механизмов надзора.
Эти нововведения в обход традиционных механизмов обнаружения также распространились на такие кампании, как TrkCdn, SpamTracker и SecShow, которые используют туннелирование системы доменных имен (DNS) для отслеживания того, когда их цели открывают фишинговые электронные письма и переходят по вредоносным ссылкам, отслеживают доставку спама, а также сканируют сети жертв на предмет потенциальных уязвимостей.
"Метод DNS-туннелирования, используемый в кампании TrkCdn, предназначен для отслеживания взаимодействия жертвы с содержимым ее электронной почты", - говорится в отчете, опубликованном ранее в этом месяце, 42-го подразделения Palo Alto Networks, добавляющем, что злоумышленники встраивают в электронное письмо содержимое, которое при открытии выполняет DNS-запрос к поддоменам, контролируемым злоумышленником.
"[SpamTracker] использует электронные письма и ссылки на веб-сайты для рассылки спама и фишингового контента. Цель кампании - заманить жертв перейти по ссылкам, за которыми злоумышленники скрывают свою полезную информацию в поддоменах."
Выводы также сделаны на фоне всплеска вредоносных рекламных кампаний, которые используют в своих интересах вредоносную рекламу популярного программного обеспечения в результатах поисковой системы, чтобы обманом заставить пользователей устанавливать программы для кражи информации и трояны удаленного доступа, такие как SectopRAT (он же ArechClient).
Кроме того, были замечены злоумышленники, создающие поддельные страницы, имитирующие финансовые учреждения, такие как Barclays, которые предоставляют законное программное обеспечение для удаленного рабочего стола, такое как AnyDesk, под видом предложения поддержки в чате, предоставляя им удаленный доступ к системам в процессе.
