Cybersecurityonderzoekers waarschuwen voor aanhoudende phishingcampagnes die misbruik maken van vernieuwingsvermeldingen in HTTP-headers om vervalste e-mailinlogpagina’s te leveren die zijn ontworpen om de inloggegevens van gebruikers te verzamelen.
“In tegenstelling tot ander phishing-gedrag bij de verspreiding van webpagina’s via HTML-inhoud, maken deze aanvallen gebruik van de responsheader die door een server wordt verzonden en die plaatsvindt vóór de verwerking van de HTML-inhoud”, aldus Yu Zhang, Zeyu You en Wei Wang, onderzoekers van Palo Alto Networks Unit 42.
“Kwaadaardige links zorgen ervoor dat de browser een webpagina onmiddellijk automatisch vernieuwt of opnieuw laadt, zonder dat de gebruiker iets hoeft te doen.”
Doelwitten van de grootschalige activiteiten, waargenomen tussen mei en juli 2024, zijn onder meer grote bedrijven in Zuid-Korea, maar ook overheidsinstanties en scholen in de VS. Er zijn maar liefst 2.000 kwaadaardige URL’s aan de campagnes gekoppeld.
Meer dan 36% van de aanvallen was gericht op de zakelijke en economische sector, gevolgd door financiële dienstverlening (12,9%), overheid (6,9%), gezondheidszorg en geneeskunde (5,7%) en computers en internet (5,4%).
De aanvallen zijn de laatste in een lange lijst van tactieken die cybercriminelen gebruiken om hun bedoelingen te verhullen en e-mailontvangers ertoe te verleiden gevoelige informatie te verstrekken. Hierbij wordt onder andere misbruik gemaakt van populaire topleveldomeinen (TLD’s) en domeinnamen om phishing- en omleidingsaanvallen uit te voeren.
De infectieketens worden gekenmerkt door de levering van kwaadaardige links via header refresh URL’s die de e-mailadressen van de beoogde ontvangers bevatten. De link waarnaar moet worden omgeleid, is ingebed in de Refresh response header.
Het beginpunt van de infectieketen is een e-mailbericht met een link die een legitiem of gecompromitteerd domein nabootst. Wanneer erop wordt geklikt, wordt de gebruiker doorgestuurd naar de door de actor aangestuurde pagina voor het verzamelen van inloggegevens.
Om de phishingpoging een schijn van legitimiteit te geven, hebben de kwaadaardige webmail-inlogpagina’s de e-mailadressen van de ontvangers vooraf ingevuld. Aanvallers zijn ook waargenomen bij het gebruik van legitieme domeinen die URL-verkorting, tracking en campagnemarketingdiensten aanbieden.
“Door legitieme domeinen zorgvuldig na te bootsen en slachtoffers door te sturen naar officiële sites, kunnen aanvallers hun ware doelen effectief maskeren en de kans op succesvolle diefstal van inloggegevens vergroten”, aldus de onderzoekers.
“Deze tactieken benadrukken de geavanceerde strategieën die aanvallers gebruiken om detectie te voorkomen en nietsvermoedende doelen uit te buiten.”
Phishing en Business Email Compromise (BEC) blijven een veelgebruikte methode voor kwaadwillenden die informatie willen stelen en financieel gemotiveerde aanvallen willen uitvoeren.
Volgens de Amerikaanse Federal Bureau of Investigation (FBI) hebben BEC-aanvallen Amerikaanse en internationale organisaties tussen oktober 2013 en december 2023 naar schatting 55,49 miljard dollar gekost. In dezelfde periode zijn er meer dan 305.000 oplichtingsincidenten gemeld.
De ontwikkeling volgt op “tientallen oplichtingscampagnes” die sinds juli 2023 deepfakevideo’s met publieke figuren, CEO’s, nieuwslezers en hoge regeringsfunctionarissen gebruiken om valse investeringsregelingen zoals Quantum AI te promoten.
Deze campagnes worden verspreid via berichten en advertenties op verschillende sociale-mediaplatforms. Gebruikers worden doorverwezen naar valse webpagina’s waar ze een formulier moeten invullen om zich te registreren. Vervolgens worden ze door een oplichter gebeld en gevraagd om een bedrag van $ 250 te betalen om toegang te krijgen tot de service.
“De oplichter instrueert het slachtoffer om een speciale app te downloaden zodat ze meer van hun geld kunnen ‘investeren’,” aldus onderzoekers van Unit 42. “Binnen de app lijkt een dashboard kleine winsten te tonen.”
“Wanneer het slachtoffer uiteindelijk zijn geld wil opnemen, vragen de oplichters om opnamekosten of voeren ze een andere reden aan (bijvoorbeeld belastingproblemen) waarom ze het geld niet terugkrijgen.
“De oplichters kunnen de rekening van het slachtoffer vervolgens blokkeren en de resterende fondsen in eigen zak steken, waardoor het slachtoffer het grootste deel van het geld dat hij op het ‘platform’ heeft gestort, kwijt is.”
Het volgt ook op de ontdekking van een sluwe bedreigingsactor die zichzelf voordoet als een legitiem bedrijf en op grote schaal geautomatiseerde CAPTCHA-oplossingsdiensten aanprijst bij andere cybercriminelen en hen helpt IT-netwerken te infiltreren.
Arkose Labs is een in Tsjechië gevestigd bedrijf dat zich bezighoudt met cyberaanvallen en de naam Greasy Opal draagt. Het bedrijf zou al sinds 2009 actief zijn. Het biedt klanten een soort toolkit voor credential stuffing, het massaal aanmaken van nepaccounts, browserautomatisering en spam op sociale media. De prijs is $ 190,- en $ 10,- extra voor een maandelijks abonnement.
Het productportfolio bestrijkt het cybercrime-gamma, waardoor ze een geavanceerd bedrijfsmodel kunnen ontwikkelen door verschillende services samen te voegen. De inkomsten van de entiteit voor 2023 alleen al zouden niet minder dan $ 1,7 miljoen bedragen.
“Greasy Opal gebruikt geavanceerde OCR-technologie om tekstgebaseerde CAPTCHA’s effectief te analyseren en interpreteren, zelfs die vervormd of verduisterd door ruis, rotatie of occlusie”, merkte het fraudepreventiebedrijf op in een recente analyse. “De service ontwikkelt machine-learning-algoritmen die zijn getraind op uitgebreide datasets van afbeeldingen.”
Een van de gebruikers is Storm-1152, een Vietnamese cybercrimegroep die eerder door Microsoft werd geïdentificeerd als een organisatie die 750 miljoen frauduleuze Microsoft-accounts en -tools via een netwerk van valse websites en sociale mediapagina’s aan andere criminelen verkocht.
“Greasy Opal heeft een bloeiend conglomeraat van veelzijdige bedrijven opgebouwd, dat niet alleen CAPTCHA-oplossende diensten aanbiedt, maar ook SEO-verbeterende software en automatiseringsdiensten voor sociale media. Deze worden vaak gebruikt voor spam, wat een voorloper kan zijn van malware-distributie”, aldus Arkose Labs.
“Deze groep bedreigende actoren weerspiegelt de groeiende trend van bedrijven die in een grijze zone opereren, terwijl hun producten en diensten worden gebruikt voor illegale activiteiten.”
