Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Kate

Administrator
Команда форума
Check Point Research совместно с Otorio проанализировали фишинговые кампании, нацеленные на тысячи организаций. Среди них была фишинговая рассылка с HTML-вложением, которая успешно обошла фильтрацию Microsoft Office 365 Advanced Threat Protection (ATP) и украла учетные данные более тысячи корпоративных сотрудников.

Выяснилось, что из-за простой ошибки в цепочке атак злоумышленники раскрыли украденные ими учетные данные в сети на десятках серверов drop-zone. С помощью простого поиска в Google любой мог бы найти пароли к взломанным адресам электронной почты.

Эта атака началась со следующего шаблона фишинговых писем.

071aaa6b212f9e3d5af39272a25ce463.png

Злоумышленник отправлял электронное письмо, имитирующее уведомление о сканировании Xerox с названием компании в строке темы. Как только жертва дважды щелкала на прикрепленный файл HTML, браузер отображал размытое изображение.

В ходе кампании использовалось несколько других вариантов фишинговых страниц, но размытое фоновое изображение оставалось прежним.

После запуска HTML-файла код JavaScript выполнялся в фоновом режиме документа. Он отвечал за простую проверку пароля, отправку данных на сервер злоумышленников и перенаправление пользователя на легитимную страницу входа в Office 365.

56d5b3b855702266cb5105e8e3503d13.png
3c410c6ce42bec8ef2aea8c2155e7c85.png

На протяжении всей кампании код постоянно совершенствовался. Используя простые методы, хакеры также смогли избежать обнаружения большинством поставщиков антивирусов.

6d6c7112103e2a4ea34e5316654b50f4.png

В этой кампании использовалась как уникальная инфраструктура, так и скомпрометированные веб-сайты WordPress в качестве серверов промежуточной зоны. При использовании специализированной инфраструктуры сервер работал примерно два месяца с десятками доменов XYZ.

db3b3da49a8aa13998d98b58edd91ce0.png

Эти зарегистрированные домены использовались в фишинговых атаках. Были обнаружены десятки скомпрометированных серверов WordPress, на которых размещалась вредоносная страница PHP (с именами «go.php», «post.php», «gate.php», «rent.php» или « rest.php»).

57feb68a9a24c09ec25734dfb3c86c2b.png

Анализ заголовков электронных писем, использованных в этой кампании, позволил сделать несколько выводов относительно тактических приемов и процедур (TTP), используемых злоумышленниками: электронные письма отправлялись с сервера Linux, размещенного в Microsoft Azure, они часто отправляются с помощью PHP Mailer 6.1.5, письма доставляются с использованием почтовых серверов 1&1.

Злоумышленники использовали скомпрометированные учетные записи электронной почты для распространения спама. В рамках одной конкретной кампании была обнаружена фишинговая страница, выдававшая себя за сайт IONOS. Весьма вероятно, что взломанные данные учетной записи IONOS использовались злоумышленниками для рассылки спама.

aaf6a00473e30c5ec13641ff35e5bbd5.png

После отправки информации пользователей на серверы drop-zone данные сохранялись в общедоступном видимом файле, индексируемым Google. Общедоступность этих данных позволила исследователям безопасности разбить жертв по отраслям деятельности. Особый интерес наблюдался к энергетическим и строительным компаниям.

b2f1ee6345b451cfbed018bde22509f3.png

Google проинформировали о том, что компания проиндексировала страницы хакеров.

Исследователи дали несколько практических советов по защите данных:

остерегайтесь писем с похожих доменов, с орфографическими ошибками в теле, а также от незнакомых отправителей,

будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие,

убедитесь, что вы заказываете товары с реального сайта. Не стоит кликать на рекламные ссылки в электронных письмах, лучше ввести в Google название продавца и перейти на его сайт,

остерегайтесь «специальных» предложений, которые не кажутся надежными или заслуживающими доверия,

убедитесь, что вы не используете пароли повторно в разных приложениях и учетных записях.


Организации же должны предотвращать атаки с помощью сквозной кибер-архитектуры, блокировать обманчивые фишинговые сайты и предоставлять предупреждения о повторном использовании паролей в режиме реального времени.

Источник статьи: https://habr.com/ru/news/t/538770/
 
Сверху