Νέα επίθεση phishing καταχράται Blob URIs για παράκαμψη SEG

Οι ειδικοί στην κυβερνοασφάλεια έχουν εντοπίσει μια εξελιγμένη τεχνική ηλεκτρονικού “phishing“, η οποία εκμεταλλεύεται τα blob URIs (Uniform Resource Identifiers), προκειμένου να παρακάμπτει τα Συστήματα Ασφαλείας Ηλεκτρονικού Ταχυδρομείου (SEGs) και τα εργαλεία ανάλυσης ασφαλείας.

Δείτε επίσης: CoGUI: Νέο phishing kit έχει στοχεύσει εκατομμύρια χρήστες

Advertisement

Αυτή η αναδυόμενη μέθοδος επίθεσης αξιοποιεί τις μοναδικές ιδιότητες των blob URIs, τα οποία έχουν σχεδιαστεί για την εμφάνιση προσωρινών δεδομένων που μπορούν να προσπελαστούν μόνο από τον browser που τα δημιούργησε. Σε αντίθεση με τις κλασικές ιστοσελίδες phishing που μπορούν να ανιχνευθούν και να αναλυθούν, οι επιθέσεις που βασίζονται σε blob URIs δημιουργούν σελίδες συλλογής διαπιστευτηρίων που υπάρχουν μόνο στη μνήμη του browser του θύματος, καθιστώντας τις σχεδόν αόρατες στα παραδοσιακά μέτρα ασφαλείας. Η επίθεση ξεκινά με ένα φαινομενικά αθώο email που περιλαμβάνει συνδέσμους προς νόμιμες και επιτρεπόμενες ιστοσελίδες, και όχι απευθείας προς κακόβουλα domains.

Αυτός ο αρχικός αποπροσανατολισμός βοηθά την απόπειρα phishing να παρακάμψει τα φίλτρα ασφαλείας του email, τα οποία συνήθως μπλοκάρουν μηνύματα με ύποπτους συνδέσμους.

Αφού τα θύματα φτάσουν σε αυτές τις ενδιάμεσες σελίδες, ανακατευθύνονται μέσα από μια σειρά βημάτων που τελικά δημιουργούν ένα τοπικό blob URI, το οποίο περιέχει το πραγματικό περιεχόμενο του phishing.

Οι ερευνητές της Cofense εντόπισαν αυτήν την τεχνική από τα μέσα του 2022 και έχουν παρατηρήσει τη συνεχώς αυξανόμενη χρήση της από κακόβουλους παράγοντες.

Δείτε ακόμα: Darcula phishing: Κλοπή χιλιάδων πιστωτικών καρτών

Σύμφωνα με την ανάλυσή τους, η μέθοδος αυτή είναι ιδιαίτερα αποτελεσματική, καθώς η τελική σελίδα συλλογής διαπιστευτηρίων υπάρχει μόνο στον φυλλομετρητή του θύματος, χωρίς να δημιουργείται εξωτερικός σύνδεσμος που θα μπορούσε να σαρωθεί ή να μπλοκαριστεί από τα εργαλεία ασφαλείας.

Αυτός ο τεχνικός περιορισμός δημιουργεί ένα σοβαρό “τυφλό σημείο” στα παραδοσιακά συστήματα εντοπισμού phishing. Η αλυσίδα μόλυνσης ακολουθεί μια περίπλοκη διαδικασία πολλαπλών σταδίων. Αφού το αρχικό email παρακάμψει το SEG, οι χρήστες οδηγούνται σε νόμιμες υπηρεσίες, όπως το Microsoft OneDrive.

Αυτό που φαίνεται ως μια τυπική σελίδα εισόδου ή οθόνη πρόσβασης σε έγγραφο είναι στην πραγματικότητα ένας προσεκτικά σχεδιασμένος μηχανισμός ανακατεύθυνσης.

Όταν το θύμα κάνει κλικ στο «Σύνδεση» ή «Προβολή εγγράφου», μεταφέρεται αθόρυβα σε μια σελίδα HTML που ελέγχεται από τον επιτιθέμενο και η οποία δημιουργεί τοπικά στον browser του θύματος ένα blob URI. Η σελίδα phishing που καταχράται τα blob URIs (εμφανιζόμενη συνήθως ως “blob:https://domain.com/τυχαία-αλφαριθμητική-αλυσίδα” στη γραμμή διευθύνσεων) περιλαμβάνει ρεαλιστικές φόρμες σύνδεσης που μιμούνται υπηρεσίες όπως το Microsoft 365 ή το OneDrive.

Παρότι υπάρχουν μόνο στη μνήμη του τοπικού browser, αυτές οι σελίδες περιέχουν κρυφή λειτουργικότητα που επιτρέπει την αποστολή των κλεμμένων διαπιστευτηρίων σε απομακρυσμένους διακομιστές που ελέγχονται από τους επιτιθέμενους.

Δείτε επίσης: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix

Ένα σχετικό και ιδιαίτερα ανησυχητικό στοιχείο είναι ότι αυτού του είδους οι επιθέσεις phishing παρακάμπτουν όχι μόνο τα εργαλεία ασφαλείας αλλά και τις παραδοσιακές μεθόδους ανάλυσης από αναλυτές κυβερνοασφάλειας. Επειδή το περιεχόμενο δεν φιλοξενείται σε εξωτερικούς servers και δεν υπάρχει σταθερό URL, δεν μπορεί εύκολα να καταγραφεί, να αναλυθεί ή να αποκλειστεί προληπτικά. Επιπλέον, το γεγονός ότι χρησιμοποιούνται νόμιμες πλατφόρμες, όπως το OneDrive ή άλλες cloud υπηρεσίες για την αρχική ανακατεύθυνση, καθιστά την επίθεση ακόμη πιο δύσκολη στον εντοπισμό, καθώς το περιβάλλον φαίνεται αξιόπιστο στον τελικό χρήστη.

Πηγή: cybersecuritynews