Οι ερευνητές ασφαλείας βλέπουν μια άνοδο στη χρήση των υπηρεσιών reverse tunnel μαζί με τα προγράμματα URL shorteners για εκστρατείες phishing μεγάλης κλίμακας, καθιστώντας την κακόβουλη δραστηριότητα πιο δύσκολο να σταματήσει.
Δείτε επίσης: Κατάχρηση της blogging πλατφόρμας του Telegram σε phishing επιθέσεις
Αυτή η πρακτική αποκλίνει από την πιο κοινή μέθοδο καταχώρισης domain με παρόχους hosting, οι οποίοι είναι πιθανό να ανταποκριθούν σε παράπονα και να καταργήσουν τους ιστότοπους phishing.
Με τα reverse tunnels, οι απειλητικοί φορείς μπορούν να φιλοξενήσουν τις σελίδες phishing τοπικά στους δικούς τους υπολογιστές και να δρομολογήσουν συνδέσεις μέσω της εξωτερικής υπηρεσίας. Χρησιμοποιώντας μια υπηρεσία συντόμευσης URL, μπορούν να δημιουργήσουν νέα links όσο συχνά θέλουν να παρακάμψουν τον εντοπισμό.
Πολλά από τα phishing links ανανεώνονται σε λιγότερο από 24 ώρες, καθιστώντας την παρακολούθηση και την κατάργηση των domain πιο απαιτητική εργασία.
Δείτε επίσης: Η Intuit προειδοποιεί τους πελάτες του QuickBooks ότι στοχοποιούνται σε επιθέσεις phishing
Κατάχρηση υπηρεσίας
Η εταιρεία προστασίας ψηφιακού κινδύνου CloudSEK παρατήρησε αύξηση στον αριθμό των καμπανιών phishing που συνδυάζουν υπηρεσίες για reverse tunneling και URL shortening.
Σε μια αναφορά που μοιράστηκε η εταιρεία με το BleepingComputer, οι ερευνητές λένε ότι βρήκαν περισσότερους από 500 ιστότοπους που φιλοξενούνται και διανέμονται με αυτόν τον τρόπο.
Οι πιο διαδεδομένες υπηρεσίες reverse tunnel που εντόπισε η CloudSEK στην έρευνά της είναι οι Ngrok, LocalhostRun και Cloudflare’s Argo. Είδαν επίσης τις υπηρεσίες συντόμευσης διευθύνσεων URL Bit.ly, is.gd και cutt.ly να είναι πιο διαδεδομένες.
Οι υπηρεσίες reverse tunnel θωρακίζουν τον ιστότοπο phishing διαχειριζόμενοι όλες τις συνδέσεις στον τοπικό server στον οποίο φιλοξενείται. Με αυτόν τον τρόπο, οποιαδήποτε εισερχόμενη σύνδεση επιλύεται από την υπηρεσία tunnel και προωθείται στο τοπικό μηχάνημα.
Τα θύματα που αλληλεπιδρούν με αυτά τα phishing sites καταλήγουν τα ευαίσθητα δεδομένα τους να αποθηκεύονται απευθείας στον υπολογιστή του εισβολέα.
Χρησιμοποιώντας URL shortners, ο απειλητικός παράγοντας κρύβει το όνομα του URL, το οποίο είναι συνήθως μια σειρά από τυχαίους χαρακτήρες, λέει το CloudSEK. Έτσι, ένα domain name που θα δημιουργούσε υποψίες είναι κρυμμένο σε μια σύντομη διεύθυνση URL.
Σύμφωνα με το CloudSEK, οι αντίπαλοι διανέμουν αυτά τα links μέσω δημοφιλών καναλιών επικοινωνίας όπως το WhatsApp, το Telegram, τα email, το κείμενο ή τις ψεύτικες σελίδες στα μέσα κοινωνικής δικτύωσης.
Δείτε επίσης: Hackers στοχεύουν τη ρωσική κυβέρνηση με phishing επιθέσεις
Αξίζει να σημειωθεί ότι η κακή χρήση αυτών των υπηρεσιών δεν είναι νέα. Για παράδειγμα, η Cyble παρουσίασε στοιχεία κατάχρησης Ngrok τον Φεβρουάριο του 2021. Ωστόσο, σύμφωνα με τα ευρήματα της CloudSEK, το πρόβλημα επιδεινώνεται.
Εντοπίστηκαν περιπτώσεις
Ένα παράδειγμα εκστρατείας phishing που καταχράται αυτές τις υπηρεσίες και την εντόπισε η CloudSEK ήταν η μίμηση της YONO, μιας ψηφιακής τραπεζικής πλατφόρμας που προσφέρεται από την State Bank of India.
Η διεύθυνση URL που ορίστηκε από τον εισβολέα ήταν κρυμμένη πίσω από το “cutt[.]ly/UdbpGhs” και οδηγούσε στο domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” που χρησιμοποιούσε την υπηρεσία Argo tunneling του Cloudflare.
Αυτή η σελίδα phishing ζήτησε credentials τραπεζικού λογαριασμού, αριθμούς κάρτας PAN, μοναδικούς αριθμούς αναγνώρισης Aadhaar και αριθμούς κινητών τηλεφώνων.
Η CloudSEK δεν μοιράστηκε πόσο αποτελεσματική ήταν αυτή η καμπάνια, αλλά τονίζει ότι οι απειλητικοί φορείς σπάνια χρησιμοποιούν το ίδιο domain name για περισσότερες από 24 ώρες, αν και ανακυκλώνουν τα phishing page templates.
Οι ευαίσθητες πληροφορίες που συλλέγονται με αυτόν τον τρόπο μπορούν να πωληθούν στο dark web ή να χρησιμοποιηθούν από τους εισβολείς για να αδειάσουν τραπεζικούς λογαριασμούς. Εάν τα δεδομένα προέρχονται από μια εταιρεία, ο απειλητικός παράγοντας θα μπορούσε να τα χρησιμοποιήσει για να εξαπολύσει επιθέσεις ransomware ή απάτη business email compromise (BEC).
Για την προστασία από αυτό το είδος απειλής, οι χρήστες θα πρέπει να αποφεύγουν να κάνουν κλικ σε συνδέσμους που λαμβάνονται από άγνωστες ή ύποπτες πηγές. Η χειροκίνητη πληκτρολόγηση του domain name μιας τράπεζας στο πρόγραμμα περιήγησης είναι μια καλή μέθοδος για την αποφυγή της έκθεσης σε ψεύτικο ιστότοπο.
Πηγή πληροφοριών: bleepingcomputer.com
