Οι phishing επιθέσεις έχουν αρχίσει να εκμεταλλεύονται το Basecamp κατά την προσπάθεια διανομής malware και κλοπής credentials.
Το Basecamp είναι μια λύση διαχείρισης project μέσω διαδικτύου, που επιτρέπει στους ανθρώπους να συνεργάζονται, να μιλούν μεταξύ τους, να δημιουργούν έγγραφα και να μοιράζονται αρχεία.
Τα έγγραφα μπορούν να μορφοποιηθούν με συνδέσμους HTML, εικόνες και κείμενο. Επιπλέον, το Basecamp επιτρέπει στους χρήστες να ανεβάζουν οποιοδήποτε αρχείο σε ένα project, συμπεριλαμβανομένων κάποιων formats που συνήθως θεωρούνται μη ασφαλή (εκτελέσιμα, αρχεία JavaScript κ.λπ).
Για την κοινή χρήση αρχείων, οι χρήστες μπορούν να δημιουργήσουν έναν δημόσιο σύνδεσμο που επιτρέπει σε άτομα εκτός του οργανισμού να κάνουν προεπισκόπηση του αρχείου και να το κατεβάσουν.
Αν οι χρήστες κάνουν κλικ σε αυτόν τον σύνδεσμο, θα μεταφερθούν σε μια σελίδα που κάνει προεπισκόπηση του αρχείου. Εκεί υπάρχει και ένας σύνδεσμος που επιτρέπει τη λήψη του αρχείου στον υπολογιστή.
Με το Basecamp, οι χρήστες μπορούν να διανείμουν κάθε τύπο αρχείου.
Το Basecamp χρησιμοποιείται για τη διανομή malware εκτελέσιμων
Ερευνητές ασφαλείας διαπίστωσαν ότι οι εγκληματίες του κυβερνοχώρου διανέμουν εκτελέσιμα BazarLoader, χρησιμοποιώντας δημόσιους συνδέσμους λήψης του Basecamp.
Το BazarLoader είναι ένα backdoor Trojan, που αναπτύσσεται από τη συμμορία TrickBot και στοχεύει μεγάλους οργανισμούς. Μόλις εγκατασταθεί, το BazarLoader θα αναπτύξει Cobalt Strike beacons που επιτρέπουν στους απατεώνες να αποκτήσουν πρόσβαση στο δίκτυο των οργανισμών και να αναπτύξουν το Ryuk ransomware.
Η κατάχρηση ασφαλών υπηρεσιών, όπως το Basecamp, για τη φιλοξενία κακόβουλων αρχείων και phishing σελίδων είναι συχνό φαινόμενο. Οι χρήστες αισθάνονται μια ασφάλεια, βλέποντας μια νόμιμη υπηρεσία. Επομένως, είναι εύκολο να εξαπατηθούν.
Επιπλέον, σύμφωνα με τους ερευνητές, η χρήση διευθύνσεων Basecamp URLs, επιτρέπει τη δημιουργία προσεκτικά σχεδιασμένων και στοχευμένων εκστρατειών. Οι χρήστες πιστεύουν ότι το αρχείο που λαμβάνουν, προέρχεται από το Basecamp project τους και έτσι δίνουν στον εγκληματία πρόσβαση στο δίκτυο.
Επομένως, όλα τα αρχεία και οι σύνδεσμοι λήψης πρέπει να αντιμετωπίζονται ως ύποπτα, ανεξάρτητα από την προέλευσή τους. Οι hackers χρησιμοποιούν νόμιμες υπηρεσίες για να είναι όσο το δυνατόν πιο πειστικοί.
Το Basecamp χρησιμοποιείται σε phishing εκστρατείες
Σε μια έκθεση της cybersecurity εταιρείας Cyjax, ο ερευνητής Will Thomas εξηγεί ότι κάποιες phishing εκστρατείες χρησιμοποιούν το Basecamp για να φιλοξενήσουν σελίδες που ανακατευθύνουν τους χρήστες σε phishing sites.
Επειδή το Basecamp είναι νόμιμο, θεωρείται αξιόπιστο και παρακάμπτει λύσεις ασφαλείας.
“Αυτή η τεχνική είναι αποτελεσματική επειδή το Basecamp και το Google Cloud hosting χρησιμοποιούνται συχνά για επιχειρηματικές λειτουργίες και θεωρούνται ασφαλείς λύσεις από τα περισσότερα συστήματα ανίχνευσης. Οι πλατφόρμες cloud διατηρούν επίσης την ανωνυμία των χρηστών τους και μπορούν να ρυθμιστούν γρήγορα. Είναι δύσκολο για τους αναλυτές SOC να τα αναγνωρίσουν ως απειλή επειδή το traffic προς και από αυτές τις υπηρεσίες φαίνεται νόμιμο“, εξηγεί ο Thomas στην έκθεσή του.
Πρόσφατα, ο Thomas ανακάλυψε μια phishing εκστρατεία που χρησιμοποίησε ένα έγγραφο Basecamp για να ανακατευθύνει τους χρήστες σε μια phishing σελίδα του Office 365. Εκεί ο χρήστης πρέπει να βάλει τα credentials του.
Επιπλέον, σύμφωνα με το Bleepingcomputer, οι hackers χρησιμοποιούν το Βasecamp γιατί μπορούν να κάνουν οποιαδήποτε επεξεργασία στις ενδιάμεσες σελίδες (αυτές που ανακατευθύνουν τους χρήστες στα phishing sites). Αν υπάρχει πρόβλημα με μια συγκεκριμένη phishing σελίδα, οι hackers μπορούν απλώς να συνδεθούν στο Basecamp και να τροποποιήσουν την ενδιάμεση σελίδα για να ανακατευθύνουν το χρήστη σε διαφορετική phishing σελίδα. Με αυτόν τον τρόπο, οι hackers μπορούν να συνεχίσουν τις επιθέσεις τους, ακόμα και αν οι ερευνητές καταφέρουν να καταργήσουν μια phishing σελίδα.