Разработчик Ник Джонсон на прошлой неделе поделился (тред в соцсети X, пересказ издания BleepingComputer) примером довольно сложной фишинговой атаки, жертвой которой вполне может стать даже осведомленный о методах работы киберпреступников человек. Заголовок фишингового сообщения выглядел примерно так:
Грозное письмо якобы от Google, отправленное вроде бы с валидного почтового ящика, требует залогиниться в систему поддержки и отреагировать на «судебное предписание». После этого текста следует ссылка на домен sites.google.com. Это — единственная деталь, которая может (и должна) вызвать подозрение, если знать, что страницу с этим URL может создать любой желающий. Кроме того, ссылка в письме неактивна (а почему — стало понятно в ходе расследования), ее нужно вручную скопировать в адресную строку браузера.
Поддельная страница службы поддержки Google выглядит достаточно правдоподобно:
Конечной целью злоумышленника, скорее всего, была кража доступа к учетной записи Google. Немного понятнее метод создания таких сообщений становится, если прокрутить фишинговое сообщение до конца. После основного сообщения следует куча пробелов, а вот после них письмо выглядит следующим образом:
Это стандартное сообщение, присылаемое при открытии доступа к API Google для определенной учетной записи. Последовательность действий атакующего получается следующая. Все начинается с регистрации доменного имени и создания для него учетной записи Google. Имя учетки — me@<имя_домена>. Еще одна достаточно хитрая тактика, благодаря которой интерфейс почты Google отображает to me в информации о получателе, хотя на самом деле письмо было отправлено совсем на другой адрес. Это можно увидеть в деталях письма:
Как видно на скриншоте выше, название домена также было выбрано так, чтобы выглядеть по возможности аутентично. Далее атакующий создает «приложение» для доступа к API, названием которого является то самое фишинговое сообщение целиком. Именно поэтому ссылка в сообщении не является активной. Письмо об открытии доступа через Google OAuth приходит на почтовый ящик me@<имя_домена>, а затем перенаправляется потенциальной жертве.
Разбору сложной цепочки перенаправления посвящена отдельная статья в блоге компании EasyDMARC. Используя службу перенаправления писем компании Namecheap, привязанную к тому же специально зарегистрированному доменному имени, атакующий мог настроить перенаправление всех писем от Google на адреса потенциальных жертв, примерно так, как это показано на скриншоте:
Перенаправление сохраняет оригинальную подпись DKIM исходного письма, в результате чего получается достаточно достоверное фишинговое сообщение, проходящее все проверки и, скорее всего, не попадающее в папку со спамом. Атака становится возможной благодаря двум особенностям. Во-первых, приложение Google OAuth можно назвать как угодно. Во-вторых, при перенаправлении легитимного письма сохраняется валидность его цифровой подписи.
Об очень похожей атаке, но с использованием инфраструктуры платежного сервиса PayPal сообщалось в марте. Злоумышленники воспользовались фичей, которая позволяет добавлять в учетную запись PayPal дополнительные физические адреса доставки, например, для того, чтобы отправить кому-то подарок. Этот адрес можно сопроводить заметкой. В поле заметки добавлялось сообщение о дорогостоящей покупке. А на почтовом сервере злоумышленника было настроено перенаправление письма, которое точно так же сохраняло и легитимный адрес отправителя, и цифровую подпись сообщения. В результате потенциальные жертвы получали письмо о том, что на их (как им казалось) учетку PayPal установлен новый адрес доставки, связано это с приобретением дорогого ноутбука, а «в случае проблем» предлагалось позвонить по телефону. Номер телефона контролировали злоумышленники, которые пытались заставить жертву установить на свой ПК вредоносное ПО.
В новых публикациях исследователей «Лаборатории Касперского» разбирается любопытная тактика встраивания кода HTML в изображения в формате SVG и анализируется бэкдор, атакующий пользователей в России под видом программного обеспечения ViPNet.
Вслед за смартфонами Apple на устройствах под управлением Android внедряется фича, автоматически перезагружающая устройство, если оно не используется больше трех дней. Перезагрузка должна усложнить копирование данных с устройства, так как переводит его в так называемый режим Before First Unlock, при котором пользовательские данные остаются зашифрованными до первой разблокировки пользователем.
Серьезная уязвимость закрыта в клиенте для конференц-связи Cisco Webex. Недостаточная валидация ссылок-приглашений на участие в созвоне может привести к загрузке и выполнению произвольного кода.
Десятибалльная уязвимость закрыта в наборе библиотек и сервисов для разработчиков Erlang/OTP. Входящий в комплект поставки сервер SSH содержит ошибку, открывающую возможность выполнения произвольного кода на сервере без аутентификации.
Критическая уязвимость обнаружена в фиче AiCloud, реализованной в роутерах компании Asus. Включение этой функции для удаленного доступа к данным делает возможным перехват контроля над роутером злоумышленниками.
Еще две активно эксплуатируемые уязвимости закрыты в обновлениях операционных систем компании Apple до версий iOS/iPadOS/tvOS 18.4.1 и macOS 15.4.1. Всего с начала года Apple закрыла пять уязвимостей, которые на момент обнаружения активно эксплуатировались в таргетированных атаках.
Консорциум CA/Browser Forum, в который входят разработчики основных браузеров и компании, выпускающие сертификаты для доступа к веб-сайтам, принял решение сократить срок жизни сертификатов SSL/TLS до 47 дней к 2029 году. В ближайшие 4 года срок жизни вновь выпускаемых сертификатов будет постепенно сокращаться с нынешних 398 дней.
Грозное письмо якобы от Google, отправленное вроде бы с валидного почтового ящика, требует залогиниться в систему поддержки и отреагировать на «судебное предписание». После этого текста следует ссылка на домен sites.google.com. Это — единственная деталь, которая может (и должна) вызвать подозрение, если знать, что страницу с этим URL может создать любой желающий. Кроме того, ссылка в письме неактивна (а почему — стало понятно в ходе расследования), ее нужно вручную скопировать в адресную строку браузера.
Поддельная страница службы поддержки Google выглядит достаточно правдоподобно:
Конечной целью злоумышленника, скорее всего, была кража доступа к учетной записи Google. Немного понятнее метод создания таких сообщений становится, если прокрутить фишинговое сообщение до конца. После основного сообщения следует куча пробелов, а вот после них письмо выглядит следующим образом:
Это стандартное сообщение, присылаемое при открытии доступа к API Google для определенной учетной записи. Последовательность действий атакующего получается следующая. Все начинается с регистрации доменного имени и создания для него учетной записи Google. Имя учетки — me@<имя_домена>. Еще одна достаточно хитрая тактика, благодаря которой интерфейс почты Google отображает to me в информации о получателе, хотя на самом деле письмо было отправлено совсем на другой адрес. Это можно увидеть в деталях письма:
Как видно на скриншоте выше, название домена также было выбрано так, чтобы выглядеть по возможности аутентично. Далее атакующий создает «приложение» для доступа к API, названием которого является то самое фишинговое сообщение целиком. Именно поэтому ссылка в сообщении не является активной. Письмо об открытии доступа через Google OAuth приходит на почтовый ящик me@<имя_домена>, а затем перенаправляется потенциальной жертве.
Разбору сложной цепочки перенаправления посвящена отдельная статья в блоге компании EasyDMARC. Используя службу перенаправления писем компании Namecheap, привязанную к тому же специально зарегистрированному доменному имени, атакующий мог настроить перенаправление всех писем от Google на адреса потенциальных жертв, примерно так, как это показано на скриншоте:
Перенаправление сохраняет оригинальную подпись DKIM исходного письма, в результате чего получается достаточно достоверное фишинговое сообщение, проходящее все проверки и, скорее всего, не попадающее в папку со спамом. Атака становится возможной благодаря двум особенностям. Во-первых, приложение Google OAuth можно назвать как угодно. Во-вторых, при перенаправлении легитимного письма сохраняется валидность его цифровой подписи.
Об очень похожей атаке, но с использованием инфраструктуры платежного сервиса PayPal сообщалось в марте. Злоумышленники воспользовались фичей, которая позволяет добавлять в учетную запись PayPal дополнительные физические адреса доставки, например, для того, чтобы отправить кому-то подарок. Этот адрес можно сопроводить заметкой. В поле заметки добавлялось сообщение о дорогостоящей покупке. А на почтовом сервере злоумышленника было настроено перенаправление письма, которое точно так же сохраняло и легитимный адрес отправителя, и цифровую подпись сообщения. В результате потенциальные жертвы получали письмо о том, что на их (как им казалось) учетку PayPal установлен новый адрес доставки, связано это с приобретением дорогого ноутбука, а «в случае проблем» предлагалось позвонить по телефону. Номер телефона контролировали злоумышленники, которые пытались заставить жертву установить на свой ПК вредоносное ПО.
Что еще произошло
В новых публикациях исследователей «Лаборатории Касперского» разбирается любопытная тактика встраивания кода HTML в изображения в формате SVG и анализируется бэкдор, атакующий пользователей в России под видом программного обеспечения ViPNet.
Вслед за смартфонами Apple на устройствах под управлением Android внедряется фича, автоматически перезагружающая устройство, если оно не используется больше трех дней. Перезагрузка должна усложнить копирование данных с устройства, так как переводит его в так называемый режим Before First Unlock, при котором пользовательские данные остаются зашифрованными до первой разблокировки пользователем.
Серьезная уязвимость закрыта в клиенте для конференц-связи Cisco Webex. Недостаточная валидация ссылок-приглашений на участие в созвоне может привести к загрузке и выполнению произвольного кода.
Десятибалльная уязвимость закрыта в наборе библиотек и сервисов для разработчиков Erlang/OTP. Входящий в комплект поставки сервер SSH содержит ошибку, открывающую возможность выполнения произвольного кода на сервере без аутентификации.
Критическая уязвимость обнаружена в фиче AiCloud, реализованной в роутерах компании Asus. Включение этой функции для удаленного доступа к данным делает возможным перехват контроля над роутером злоумышленниками.
Еще две активно эксплуатируемые уязвимости закрыты в обновлениях операционных систем компании Apple до версий iOS/iPadOS/tvOS 18.4.1 и macOS 15.4.1. Всего с начала года Apple закрыла пять уязвимостей, которые на момент обнаружения активно эксплуатировались в таргетированных атаках.
Консорциум CA/Browser Forum, в который входят разработчики основных браузеров и компании, выпускающие сертификаты для доступа к веб-сайтам, принял решение сократить срок жизни сертификатов SSL/TLS до 47 дней к 2029 году. В ближайшие 4 года срок жизни вновь выпускаемых сертификатов будет постепенно сокращаться с нынешних 398 дней.
