- 13,884
- 20
- 8 Ноя 2022
Как файлообменник встал на сторону хакеров?
Компания Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали электронные письма с ссылкой на файлообменник Для просмотра ссылки Войди или Зарегистрируйся
Ссылка вела жертв к PDF -документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа Microsoft 365 . Сервер действовал как обратный прокси , похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.
Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.
После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.
Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.
Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
Компания Trend Micro Для просмотра ссылки Войди
Ссылка вела жертв к PDF -документу на сервере DRACOON. Документ содержал вторую ссылку на сервер хакеров, имитирующий портал входа Microsoft 365 . Сервер действовал как обратный прокси , похищая учетные данные и cookie-сеанса пользователя, что позволяло обходить многофакторную аутентификацию.
Анализ показал, что обратный прокси служил промежуточным сервером между жертвой и официальной страницей аутентификации Microsoft 365. Когда пользователь вводил свои учетные данные на поддельной странице входа, реверс-прокси передавал эти данные на настоящую страницу, тем самым собирая конфиденциальную информацию.
После кражи учетных данных киберпреступники получали доступ к почтовым ящикам пользователя и распространяли исходные фишинговые письма контактам жертвы.
Функциональность обратного прокси, по данным исследований, связана с фишинговым набором инструментов EvilProxy. Однако в последних случаях использовались не перенаправления, а промежуточные ссылки на файлы, ведущие к инфраструктуре, контролируемой злоумышленником. Такой метод позволяет обойти традиционные средства защиты электронной почты, так как исходная ссылка кажется легитимной.
Команда DRACOON была уведомлена о происходящем и удалила потенциально опасные вложения, а также заблокировала аккаунты киберпреступников.
- Источник новости
- www.securitylab.ru
