Хакеры забыли про индексацию Google, и украденные данные появились в поиске

0
7

Check Point Research совместно с Otorio проанализировали фишинговые кампании, нацеленные на тысячи организаций. Среди них была фишинговая рассылка с HTML-вложением, которая успешно обошла фильтрацию Microsoft Office 365 Advanced Threat Protection (ATP) и украла учетные данные более тысячи корпоративных сотрудников.

Выяснилось, что из-за простой ошибки в цепочке атак злоумышленники раскрыли украденные ими учетные данные в сети на десятках серверов drop-zone. С помощью простого поиска в Google любой мог бы найти пароли к взломанным адресам электронной почты.

Эта атака началась со следующего шаблона фишинговых писем.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Злоумышленник отправлял электронное письмо, имитирующее уведомление о сканировании Xerox с названием компании в строке темы. Как только жертва дважды щелкала на прикрепленный файл HTML, браузер отображал размытое изображение.

В ходе кампании использовалось несколько других вариантов фишинговых страниц, но размытое фоновое изображение оставалось прежним.

ЧИТАТЬ ТАКЖЕ:  Сбербанк с 1 сентября переведет 30% сотрудников на вечную удаленку

После запуска HTML-файла код JavaScript выполнялся в фоновом режиме документа. Он отвечал за простую проверку пароля, отправку данных на сервер злоумышленников и перенаправление пользователя на легитимную страницу входа в Office 365.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

На протяжении всей кампании код постоянно совершенствовался. Используя простые методы, хакеры также смогли избежать обнаружения большинством поставщиков антивирусов.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

В этой кампании использовалась как уникальная инфраструктура, так и скомпрометированные веб-сайты WordPress в качестве серверов промежуточной зоны. При использовании специализированной инфраструктуры сервер работал примерно два месяца с десятками доменов XYZ.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Эти зарегистрированные домены использовались в фишинговых атаках. Были обнаружены десятки скомпрометированных серверов WordPress, на которых размещалась вредоносная страница PHP (с именами «go.php», «post.php», «gate.php», «rent.php» или « rest.php»).

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Анализ заголовков электронных писем, использованных в этой кампании, позволил сделать несколько выводов относительно тактических приемов и процедур (TTP), используемых злоумышленниками: электронные письма отправлялись с сервера Linux, размещенного в Microsoft Azure, они часто отправляются с помощью PHP Mailer 6.1.5, письма доставляются с использованием почтовых серверов 1&1.

ЧИТАТЬ ТАКЖЕ:  Машзал и инфраструктура суперкомпьютера Summit стали доступны в виртуальной экскурсии

Злоумышленники использовали скомпрометированные учетные записи электронной почты для распространения спама. В рамках одной конкретной кампании была обнаружена фишинговая страница, выдававшая себя за сайт IONOS. Весьма вероятно, что взломанные данные учетной записи IONOS использовались злоумышленниками для рассылки спама.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

После отправки информации пользователей на серверы drop-zone данные сохранялись в общедоступном видимом файле, индексируемым Google. Общедоступность этих данных позволила исследователям безопасности разбить жертв по отраслям деятельности. Особый интерес наблюдался к энергетическим и строительным компаниям.

Хакеры забыли про индексацию Google, и украденные данные появились в поиске

Google проинформировали о том, что компания проиндексировала страницы хакеров.

ЧИТАТЬ ТАКЖЕ:  Против Apple подали иск: компанию просят убрать Telegram из App Store

Исследователи дали несколько практических советов по защите данных:

остерегайтесь писем с похожих доменов, с орфографическими ошибками в теле, а также от незнакомых отправителей,

будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие,

убедитесь, что вы заказываете товары с реального сайта. Не стоит кликать на рекламные ссылки в электронных письмах, лучше ввести в Google название продавца и перейти на его сайт,

остерегайтесь «специальных» предложений, которые не кажутся надежными или заслуживающими доверия,

убедитесь, что вы не используете пароли повторно в разных приложениях и учетных записях.

Организации же должны предотвращать атаки с помощью сквозной кибер-архитектуры, блокировать обманчивые фишинговые сайты и предоставлять предупреждения о повторном использовании паролей в режиме реального времени.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь