Субъекты угроз используют сайты для публикации цифровых документов (DDP), размещенные на таких платформах, как FlipSnack, Issuu, Marq, Publuu, RelayTo и Simplebooklet для осуществления фишинга, сбора учетных данных и кражи токенов сеанса, что еще раз подчеркивает, как субъекты угроз перепрофилируют законные сервисы для злонамеренных целей.
"Размещение фишинговых приманок на сайтах DDP увеличивает вероятность успешной фишинг-атаки, поскольку эти сайты часто имеют благоприятную репутацию, вряд ли появятся в списках блокировки веб-фильтров и могут внушить ложное чувство безопасности пользователям, которые распознают их как знакомые или законные", - сказал на прошлой неделе исследователь Cisco Talos Крейг Джексон.
В прошлом злоумышленники использовали популярные облачные сервисы, такие как Google Drive, OneDrive, Dropbox, SharePoint, DocuSign и Oneflow для размещения фишинговых документов, но последняя разработка знаменует собой эскалацию, направленную на обход контроля безопасности электронной почты.
Сервисы DDP позволяют пользователям загружать PDF-файлы и обмениваться ими в интерактивном формате flipbook в браузере, добавляя анимацию перелистывания страниц и другие скеоморфные эффекты в любой каталог, брошюру или журнал.
Было обнаружено, что злоумышленники злоупотребляют бесплатным уровнем или бесплатным пробным периодом, предлагаемым этими сервисами, для создания нескольких учетных записей и публикации вредоносных документов.
Помимо использования благоприятной репутации своего домена, злоумышленники пользуются тем фактом, что сайты DDP облегчают временный хостинг файлов, тем самым позволяя опубликованному контенту автоматически становиться недоступным по истечении заранее определенной даты и времени истечения срока действия.
Более того, функции повышения производительности, встроенные в сайты DDP, такие как Publuu, могут действовать как сдерживающий фактор, предотвращая извлечение и обнаружение вредоносных ссылок в фишинговых сообщениях.
В инцидентах, проанализированных Cisco Talos, сайты DDP интегрируются в цепочку атак на вторичной или промежуточной стадии, обычно путем встраивания ссылки на документ, размещенный на законном сайте DDP, в фишинговое электронное письмо.
Документ, размещенный на DDP, служит шлюзом на внешний сайт, контролируемый злоумышленником, либо напрямую путем нажатия на ссылку, включенную в файл-приманку, либо через серию перенаправлений, которые также требуют устранения капчи, чтобы помешать автоматизированному анализу.
Конечная целевая страница представляет собой поддельный сайт, имитирующий страницу входа в Microsoft 365, что позволяет злоумышленникам украсть учетные данные или токены сеанса.
"Сайты DDP могут представлять собой слепую зону для защитников, потому что они незнакомы подготовленным пользователям и вряд ли будут отмечены средствами управления электронной почтой и фильтрацией веб-контента", - сказал Джексон.
"Сайты DDP создают преимущества для субъектов угроз, стремящихся нарушить современные средства защиты от фишинга. Те же функции и преимущества, которые привлекают законных пользователей на эти сайты, могут быть использованы субъектами угроз для повышения эффективности фишинг-атаки".
"Размещение фишинговых приманок на сайтах DDP увеличивает вероятность успешной фишинг-атаки, поскольку эти сайты часто имеют благоприятную репутацию, вряд ли появятся в списках блокировки веб-фильтров и могут внушить ложное чувство безопасности пользователям, которые распознают их как знакомые или законные", - сказал на прошлой неделе исследователь Cisco Talos Крейг Джексон.
В прошлом злоумышленники использовали популярные облачные сервисы, такие как Google Drive, OneDrive, Dropbox, SharePoint, DocuSign и Oneflow для размещения фишинговых документов, но последняя разработка знаменует собой эскалацию, направленную на обход контроля безопасности электронной почты.
Сервисы DDP позволяют пользователям загружать PDF-файлы и обмениваться ими в интерактивном формате flipbook в браузере, добавляя анимацию перелистывания страниц и другие скеоморфные эффекты в любой каталог, брошюру или журнал.
Было обнаружено, что злоумышленники злоупотребляют бесплатным уровнем или бесплатным пробным периодом, предлагаемым этими сервисами, для создания нескольких учетных записей и публикации вредоносных документов.
Помимо использования благоприятной репутации своего домена, злоумышленники пользуются тем фактом, что сайты DDP облегчают временный хостинг файлов, тем самым позволяя опубликованному контенту автоматически становиться недоступным по истечении заранее определенной даты и времени истечения срока действия.
Более того, функции повышения производительности, встроенные в сайты DDP, такие как Publuu, могут действовать как сдерживающий фактор, предотвращая извлечение и обнаружение вредоносных ссылок в фишинговых сообщениях.
В инцидентах, проанализированных Cisco Talos, сайты DDP интегрируются в цепочку атак на вторичной или промежуточной стадии, обычно путем встраивания ссылки на документ, размещенный на законном сайте DDP, в фишинговое электронное письмо.
Документ, размещенный на DDP, служит шлюзом на внешний сайт, контролируемый злоумышленником, либо напрямую путем нажатия на ссылку, включенную в файл-приманку, либо через серию перенаправлений, которые также требуют устранения капчи, чтобы помешать автоматизированному анализу.
Конечная целевая страница представляет собой поддельный сайт, имитирующий страницу входа в Microsoft 365, что позволяет злоумышленникам украсть учетные данные или токены сеанса.
"Сайты DDP могут представлять собой слепую зону для защитников, потому что они незнакомы подготовленным пользователям и вряд ли будут отмечены средствами управления электронной почтой и фильтрацией веб-контента", - сказал Джексон.
"Сайты DDP создают преимущества для субъектов угроз, стремящихся нарушить современные средства защиты от фишинга. Те же функции и преимущества, которые привлекают законных пользователей на эти сайты, могут быть использованы субъектами угроз для повышения эффективности фишинг-атаки".
