Bedreigingsactoren maken gebruik van sites voor het publiceren van digitale documenten (DDP) die worden gehost op platforms als FlipSnack, Issuu, Marq, Publuu, RelayTo en Simplebooklet voor het uitvoeren van phishing, het verzamelen van inloggegevens en diefstal van sessietokens, wat nogmaals onderstreept hoe bedreigingsactoren legitieme diensten een nieuwe bestemming geven voor kwaadaardige doeleinden.
“Het hosten van phishing-lokmiddelen op DDP-sites vergroot de kans op een succesvolle phishing-aanval, omdat deze sites vaak een gunstige reputatie hebben, waarschijnlijk niet op blokkeerlijsten van webfilters verschijnen en een vals gevoel van veiligheid kunnen wekken bij gebruikers die ze als bekend of vertrouwd beschouwen. legitiem”, zei Cisco Talos-onderzoeker Craig Jackson vorige week.
Hoewel tegenstanders in het verleden populaire cloudgebaseerde services zoals Google Drive, OneDrive, Dropbox, SharePoint, DocuSign en Oneflow hebben gebruikt om phishing-documenten te hosten, markeert de nieuwste ontwikkeling een escalatie die is ontworpen om e-mailbeveiligingscontroles te omzeilen.
Met DDP-services kunnen gebruikers PDF-bestanden uploaden en delen in een browsergebaseerd interactief flipbook-formaat, waarbij pagina-omslaganimaties en andere skeuomorfe effecten worden toegevoegd aan elke catalogus, brochure of tijdschrift.
Er is vastgesteld dat bedreigingsactoren misbruik maken van de gratis laag of een kosteloze proefperiode die door deze diensten wordt aangeboden om meerdere accounts aan te maken en kwaadaardige documenten te publiceren.
Naast het misbruiken van hun gunstige domeinreputatie, profiteren de aanvallers van het feit dat DDP-sites tijdelijke bestandshosting mogelijk maken, waardoor gepubliceerde inhoud automatisch niet meer beschikbaar is na een vooraf gedefinieerde vervaldatum en -tijd.
Bovendien zouden de productiviteitsfuncties die in DDP-sites zoals Publuu zijn ingebakken, een afschrikwekkende werking kunnen hebben en de extractie en detectie van kwaadaardige links in phishing-berichten kunnen voorkomen.
Bij de door Cisco Talos geanalyseerde incidenten worden DDP-sites in de secundaire of tussenfase in de aanvalsketen geïntegreerd, meestal door in een phishing-e-mail een link naar een document dat op een legitieme DDP-site wordt gehost, in te sluiten.
Het door DDP gehoste document dient als toegangspoort tot een externe, door de tegenstander gecontroleerde site, hetzij rechtstreeks door op een link in het lokbestand te klikken, hetzij via een reeks omleidingen waarvoor ook CAPTCHA’s moeten worden opgelost om geautomatiseerde analyse-inspanningen te dwarsbomen.
De uiteindelijke landingspagina is een valse site die de inlogpagina van Microsoft 365 nabootst, waardoor de aanvallers inloggegevens of sessietokens kunnen stelen.
“DDP-sites kunnen een blinde vlek vormen voor verdedigers, omdat ze onbekend zijn bij getrainde gebruikers en het onwaarschijnlijk is dat ze worden gemarkeerd door controlemechanismen voor het filteren van e-mail en webinhoud”, aldus Jackson.
“DDP-sites creëren voordelen voor bedreigingsactoren die hedendaagse phishing-beveiligingen willen dwarsbomen. Dezelfde kenmerken en voordelen die legitieme gebruikers naar deze sites lokken, kunnen door bedreigingsactoren worden misbruikt om de effectiviteit van een phishing-aanval te vergroten.”
