Η τεχνολογία ψηφιακής ασφάλειας αντιμετωπίζει συνεχώς νέες προκλήσεις, καθώς οι επιθέσεις phishing εξελίσσονται διαρκώς.Οι επιτιθέμενοι, χρησιμοποιώντας δημιουργικούς τρόπους, καταφέρνουν συχνά να ξεπεράσουν τα σύγχρονα εργαλεία ασφαλείας και να εξαπατήσουν τους χρήστες.
Μια πρόσφατη καμπάνια ηλεκτρονικού “ψαρέματος” προσφέρει μια ανησυχητική υπενθύμιση ότι η εμπιστοσύνη που υπάρχει για μεγάλες τεχνολογικές εταιρείες μπορεί να χρησιμοποιηθεί κατά τις επιθέσεις. Αυτή τη φορά, οι χάκερ ενσωματώνουν κακόβουλους συνδέσμους σε αξιόπιστες υπηρεσίες της Google, καθιστώντας σχεδόν αδύνατο για τα αυτόματα συστήματα ασφαλείας να τους εντοπίσουν πριν φτάσουν στα εισερχόμενα των χρηστών.
Η συγκεκριμένη απάτη εκμεταλλεύεται την τεχνική στοιβάξεως πολλών νόμιμων τομέων της Google σε έναν μόνο σύνδεσμο. Έτσι, όταν τα εργαλεία ασφαλείας αναλύουν το email, βλέπουν μόνο γνωστές, αξιόπιστες διευθύνσεις της Google.
Ο κακόβουλος προορισμός παραμένει κρυφός μέχρι να κλικάρει ο χρήστης στον σύνδεσμο, κάτι που αποδεικνύεται κομβικής σημασίας για την επιτυχία των επιθέσεων. Αυτή η απόσταση μεταξύ του τι βλέπει μια μηχανή και της εμπειρίας ενός ανθρώπου είναι το σημείο στο οποίο στηρίζονται οι κυβερνοεγκληματίες.
Οι ερευνητές από το KnowBe4 ThreatLabs έχουν εντοπίσει και παρακολουθούν αυτήν την καμπάνια, αποκαλύπτοντας τη μέθοδο παράδοσης που χρησιμοποιεί τριπλή αλυσίδα, η οποία την καθιστά εξαιρετικά δύσκολη για εντοπισμό.
Αυτή η μέθοδος συνδυάζει τρεις αξιόπιστους τομείς της Google—Google Meet, Google Search Redirect και Google Ad Service—για να κατευθύνει τα θύματα σε κακόβουλους προορισμούς χωρίς να ενεργοποιεί σήματα συναγερμού.
Οι επιτιθέμενοι χρησιμοποιούν δόλια μηνύματα για να προσελκύσουν τα θύματα, όπως εικονικές ενημερώσεις παράδοσης από την FedEx, αιτήματα εγγράφων DocuSign και ειδοποιήσεις για ληγμένους κωδικούς πρόσβασης του Microsoft 365, συμπεριλαμβανομένων κακόβουλων κωδικών QR.
Καθένα από τα δόλια μηνύματα δημιουργεί επείγουσα ανάγκη για δράση. Μόλις ο χρήστης κάνει κλικ, η καμπάνια ακολουθεί δύο διαδρομές ανάλογα με τον τύπο του ηλεκτρονικού ταχυδρομείου που έλαβαν.
Οι χρήστες που πέφτουν στην παγίδα μπορεί να οδηγηθούν σε μια ψεύτικη σελίδα σύνδεσης του Microsoft 365 που περιλαμβάνει ήδη το email τους, έτοιμο για κλοπή διαπιστευτηρίων. Άλλοι μπορούν να κατευθυνθούν σε ένα ψεύτικο κοινόχρηστο έγγραφο στο OneDrive, το οποίο περιέχει έναν κωδικό που τους δίνει στους εισβολείς πλήρη πρόσβαση, χωρίς να χρειάζονται τα διαπιστευτήρια του θύματος.
Κατάχρηση αξιόπιστων τομέων της Google από τους χάκερ
Κεντρική ιδέα αυτής της επίθεσης είναι η λεγόμενη Nested Delivery Matrix. Οι εισβολείς σχηματίζουν μια διεύθυνση URL που διέρχεται από τρεις τομείς της Google πριν φτάσουν στον προορισμό που ελέγχεται από τους επιτιθέμενους.
Η αλυσίδα λειτουργεί ως εξής: Το SafeLinks δρομολογεί στο meet.google.com/linkredirect, το οποίο περνάει στο google.com/url και παρακάτω ανακατευθύνεται μέσω του adservice.google.com.ph πριν προσγειωθεί στην κακόβουλη σελίδα.
Αυτές οι «ασφαλείς» πύλες ηλεκτρονικού ταχυδρομείου δεν εντοπίζουν τίποτα ύποπτο, καθώς όλοι οι τομείς ανήκουν στην Google με καθαρές βαθμολογίες φήμης. Η διαδικασία αυτή αφήνει το email να περάσει, χωρίς να αναγνωρίζεται ο κακόβουλος προορισμός.
Κλοπή διαπιστευτηρίων και απόσπαση συνεδριών: Δύο διακριτές επιθέσεις
Αφού τα θύματα εισέλθουν στη σελίδα phishing, η επίθεση διαιρείται σε δύο αποτελέσματα. Η μία αφορά τη συλλογή διαπιστευτηρίων, όπου μια ψεύτικη σελίδα σύνδεσης M365 καταγράφει τις διευθύνσεις email των χρηστών μαζί με τους κωδικούς τους.
Η υπόσχεση είναι ανησυχητική, καθώς το email είναι ήδη συμπληρωμένο, προσφέροντας μία αίσθηση πιστοποίησης που μειώνει την επιφυλακτικότητα των χρηστών.
Το δεύτερο αποτέλεσμα είναι ακόμα πιο περίπλοκο. Οι χρήστες βλέπουν μια ψευδή προεπισκόπηση εγγράφου OneDrive που περιέχει έναν κωδικό ελέγχου ταυτότητας. Αν το εισάγουν σε άλλη νόμιμη σελίδα της Microsoft, οι χάκερ αποκτούν σιωπηλή πρόσβαση στον λογαριασμό του θύματος, χωρίς να χρειάζεται το password.
Οι ομάδες ασφαλείας καλούνται να εξετάζουν κάθε email με ανακατευθύνσεις, ακόμη και εκείνα που διαπραγματεύονται μέσω αξιόπιστων τομέων, με ενδελεχή έλεγχο.
Οι οργανισμοί θα πρέπει να εκπαιδεύσουν τους υπαλλήλους τους να επαληθεύουν τους συνδέσμους προτού κάνουν κλικ, να προσέχουν τις προσυμπληρωμένες φόρμες σύνδεσης και να αναφέρουν αμέσως οποιαδήποτε ύποπτη δραστηριότητα. Η εφαρμογή οργανωτικών πολιτικών και ο αποκλεισμός άγνωστων ανακατευθύνσεων μπορεί να συμβάλλει στη μείωση των κινδύνων.
Δείκτες συμβιβασμού (IoCs):
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Πεδίο ορισμού | vazquezfleytas[.]com | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | οικοδομήσιο[.]pt | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | βελβόρρα[.]com | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | φουρκανμούσταφα[.]com | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | unitedtechnofzmlogies[.]vu | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | cloudbemismanufacturingcompanygroup[.]rydezyhrsysteminc[.]vu | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | servicetriumphgroup απλά αξιολογήσεις[.]spectrhwqumbrands[.]vu | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | cloudgillettebrandberkshirehathaway[.]rtzcoekdrporation[.]vu | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Πεδίο ορισμού | odahlzr5lm[.]αξιοπιστία σε λειτουργίες[.]de | Τομέας phishing ελεγχόμενος από τους εισβολείς |
| Εφαρμογή/Τομέας | staiwooje[.]εφαρμογή | Τελικό σημείο phishing ελεγχόμενο από εισβολείς |
| URL του Cloudflare Worker | Σύνδεσμος-φόρμα-unj9[.]p-sm7rw6ru[.]εργάτες[.]dev | URL παράδοσης Malicious Cloudflare Workers |
| URL του Cloudflare Worker | data-cloud-ofe8[.]p-8yejy42o[.]εργάτες[.]dev | URL παράδοσης Malicious Cloudflare Workers |
Σημείωμα: Οι διευθύνσεις IP και οι τομείς έχουν τροποποιηθεί (π.χ. [.]) προκειμένου να μην προκληθεί τυχαία υπερσύνδεση. Κατά την έρευνα, χρησιμοποιήστε αξιόπιστες πλατφόρμες όπως το MISP ή το VirusTotal.
