Cybersecurity -onderzoekers vestigen de aandacht op een nieuw type phishing -schema dat ervoor zorgt dat de gestolen informatie is gekoppeld aan geldige online accounts.
De techniek is met codenaam precisie-validerende phishing door Cofense, waarvan het zei dat het realtime e-mailvalidatie gebruikt, zodat alleen een selecte set hoogwaardige doelen wordt geserveerd de nep-inlogschermen.
“Deze tactiek geeft de dreigingsactoren niet alleen een hoger slagingspercentage bij het verkrijgen van bruikbare referenties, omdat ze alleen een specifieke vooraf geoogste lijst met geldige e-mailaccounts aangaan,” zei het bedrijf.
In tegenstelling tot “spray-and-fray” -referentiegebieden die campagnes voor het oog hebben op de bulkdistributie van spam-e-mails om de inloggegevens van slachtoffers op een willekeurige wijze te verkrijgen, neemt de nieuwste aanvalstactiek speerpijn op het volgende niveau door alleen te gaan met e-mailadressen die aanvallers hebben geverifieerd als actief, legitiem en hoogwaardige.
In dit scenario wordt het e -mailadres ingevoerd door het slachtoffer op een phishing -bestemmingspagina gevalideerd tegen de database van de aanvaller, waarna de nep -login -pagina wordt weergegeven. Als het e -mailadres niet in de database bestaat, retourneert de pagina een fout of wordt de gebruiker omgeleid naar een onschadelijke pagina zoals Wikipedia om de beveiligingsanalyse te ontwijken.
De controles worden uitgevoerd door een API- of JavaScript-gebaseerde validatieservice te integreren in de phishing-kit die het e-mailadres bevestigt voordat u doorgaat naar de stap voor het vastleggen van wachtwoord.
“Het verhoogt de efficiëntie van de aanval en de waarschijnlijkheid dat gestolen referenties behoren tot echte, actief gebruikte accounts, waardoor de kwaliteit van geoogste gegevens voor wederverkoop of verdere uitbuiting wordt verbeterd,” zei Cofense.
“Geautomatiseerde beveiligingscrawlers en sandbox -omgevingen worstelen ook om deze aanvallen te analyseren omdat ze het validatiefilter niet kunnen omzeilen. Deze gerichte aanpak vermindert het risico op aanvallers en verlengt de levensduur van phishing -campagnes.”
De ontwikkeling komt wanneer het cybersecuritybedrijf ook details onthulde van een e -mail phishing -campagne die bestandsverwijderingen gebruikt als een kunstaas om referenties te pakken en malware te leveren.
De tweeledige aanval maakt gebruik van een ingesloten URL die schijnbaar wijst op een PDF-bestand dat is gepland om te worden verwijderd uit een legitieme bestandsopslagservice genaamd Files.fm. Als de ontvanger van het bericht op de link klikt, worden ze naar legitieme bestanden. FM -link gebracht van waar ze het vermeende PDF -bestand kunnen downloaden.
Wanneer de PDF echter wordt geopend, krijgen gebruikers twee opties te zien om het bestand te bekijken of te downloaden. Gebruikers die kiezen voor het eerste worden naar een nep Microsoft -inlogscherm gebracht dat is ontworpen om hun referenties te stelen. Wanneer de downloadoptie is geselecteerd, laat het een uitvoerbare bestand laten vallen dat beweert Microsoft OneDrive te zijn, maar in werkelijkheid de screenconnect externe desktopsoftware is van ConnectWise.
Het is “bijna alsof de dreigingsacteur opzettelijk de aanval heeft ontworpen om de gebruiker te vangen, waardoor ze dwingen te kiezen voor welke ‘gif’ ze zullen vallen,” zei Cofense. “Beide opties leiden tot hetzelfde resultaat, met vergelijkbare doelen, maar verschillende benaderingen om ze te bereiken.”
De bevindingen volgen ook op de ontdekking van een geavanceerde multi-fase aanval die vishing, tools op afstand combineert en technieken voor het leven om initiële toegang te krijgen en doorzettingsvermogen te vestigen. Het in de activiteit waargenomen handel is consistent met clusters die worden gevolgd als storm-1811 (AKA STAC5777).
“De dreigingsacteur exploiteerde blootgestelde communicatiekanalen door een kwaadaardige PowerShell -lading te leveren via een Microsoft Teams -bericht, gevolgd door het gebruik van snelle assist om op afstand toegang te krijgen tot de omgeving,” zei Ontinue. “Dit leidde tot de implementatie van ondertekende binaries (bijv. TeamViewer.exe), een sideloaded kwaadwillende DLL (TV.DLL), en uiteindelijk een op JavaScript gebaseerde C2-achterdeur uitgevoerd via Node.js.”
