Исследователи в области кибербезопасности обнаружили новую фишинговую кампанию, которая использует Google Drawings и сокращенные ссылки, созданные через WhatsApp, чтобы избежать обнаружения и заставить пользователей перейти по поддельным ссылкам, предназначенным для кражи конфиденциальной информации.
«Злоумышленники выбрали группу самых известных веб-сайтов в области вычислительной техники для создания угрозы, включая Google и WhatsApp для размещения элементов атаки, а также двойника Amazon для сбора информации жертвы», — сказал исследователь Menlo Security Эшвин Вамши . «Эта атака — яркий пример угрозы Living Off Trusted Sites ( LoTS )».
Начальной точкой атаки является фишинговое письмо, которое направляет получателей на графику, которая выглядит как ссылка для проверки аккаунта Amazon. Эта графика, в свою очередь, размещена на Google Drawings, в явной попытке избежать обнаружения.
Злоупотребление законными сервисами имеет очевидные преимущества для злоумышленников, поскольку это не только недорогое решение, но, что еще важнее, они предлагают скрытый способ связи внутри сетей, поскольку их вряд ли заблокируют продукты безопасности или брандмауэры.
«Другая вещь, которая делает Google Drawings привлекательным в начале атаки, заключается в том, что он позволяет пользователям (в данном случае злоумышленнику) включать ссылки в свои графики», — сказал Вамши. «Пользователи могут легко не заметить такие ссылки, особенно если они чувствуют срочность в отношении потенциальной угрозы своему аккаунту Amazon».
Пользователи, которые в конечном итоге нажимают на ссылку подтверждения, перенаправляются на страницу входа, похожую на страницу Amazon, URL-адрес которой последовательно создается с использованием двух различных укоротителей URL-адресов — WhatsApp («l.wl[.]co»), а затем qrco[.]de — в качестве дополнительного уровня запутывания и обмана сканеров URL-адресов безопасности.
Поддельная страница предназначена для сбора учетных данных, личной информации и данных кредитных карт, после чего жертвы перенаправляются на оригинальную фишинговую страницу входа в Amazon. В качестве дополнительного шага веб-страница становится недоступной с того же IP-адреса после проверки учетных данных.
Раскрытие информации произошло после того, как исследователи обнаружили лазейку в антифишинговых механизмах Microsoft 365, которую можно использовать для увеличения риска открытия пользователями фишинговых писем.
Метод подразумевает использование трюков CSS для сокрытия «First Contact Safety Tip», который предупреждает пользователей, когда они получают электронные письма с неизвестного адреса. Microsoft, которая признала наличие проблемы, пока не выпустила исправление.
«Совет по безопасности первого контакта добавляется к тексту HTML-письма, что означает, что можно изменить способ его отображения с помощью тегов стиля CSS», — заявила австрийская компания по кибербезопасности Certitude . «Мы можем пойти еще дальше и подделать значки, которые Microsoft Outlook добавляет к зашифрованным и/или подписанным письмам».