Nová kampaň zaměřená na phishingové útoky zaměřená na uživatele počítačů Mac a identifikovaná laboratoří LayerX Labs ukazuje zkoušky a strasti boje proti online phishingu a jak se útoky mění a mění v reakci na adaptace bezpečnostních nástrojů.

Posledních několik měsíců LayerX monitoruje sofistikovanou phishingovou kampaň, která se zpočátku zaměřovala na uživatele Windows a vydávala se za bezpečnostní výstrahy společnosti Microsoft. Cílem kampaně bylo ukrást přihlašovací údaje uživatelů pomocí podvodných taktik, které přiměly oběti věřit, že jejich počítače byly kompromitovány.

Nyní, s novými funkcemi zabezpečení zavedenými společnostmi Microsoft, Chrome a Firefox, se útočníci zaměřili na uživatele počítačů Mac.

Akt I: Cílení na uživatele Windows

Původní phishingový útok zahrnoval kompromitované webové stránky zobrazující falešná bezpečnostní varování, která tvrdila, že počítač uživatele byl „kompromitován“ a „uzamčen“. Útočníci vyzvali uživatele, aby zadali své uživatelské jméno a heslo pro Windows. Škodlivý kód zároveň způsobil zamrznutí webové stránky a vytvořil iluzi, že celý počítač byl uzamčen. Původní phishingový útok zahrnoval kompromitované webové stránky zobrazující falešná bezpečnostní varování, která tvrdila, že počítač uživatele byl „kompromitován“ a „zamčen“. Útočníci vyzvali uživatele, aby zadali své uživatelské jméno a heslo pro Windows. Zároveň škodlivý kód způsobil zamrznutí webové stránky, což vyvolalo iluzi, že je celý počítač uzamčen.

 

LayerX má o této kampani již bylo napsáno na našem blogu.

Proč bylo těžké tuto kampaň zastavit:

  1. Hostováno na platformě Microsoft – Phishingové stránky byly hostovány na platformě Windows.net společnosti Microsoft (otevřená platforma společnosti Microsoft pro hostování aplikací Azure). V kontextu útoku to způsobilo, že se zprávy jevily jako legitimní, protože šlo o bezpečnostní varování (údajně) od společnosti Microsoft, pocházející ze stránky v doméně windows[.]net.
  2. Využívání hostingových služeb – Další běžnou taktikou, kterou útočníci v tomto případě použili, bylo použití důvěryhodné hostingové služby jako základní infrastruktury pro škodlivé stránky. Důvodem je to, že tradiční ochrana proti phishingu, jako jsou zabezpečené webové brány (SWG) a řešení zabezpečení e-mailů, často hodnotí riziko stránky na základě reputace domény nejvyšší úrovně (TLD). V tomto případě je TLD (windows[.]net) známou a velmi používanou platformou renomovaného poskytovatele (Microsoft) s vysokým skóre reputace TLD. Díky tomu tyto stránky dokázaly obejít tradiční ochranné mechanismy.
  3. Randomizované, rychle se měnící subdomény – pod obecnou doménou nejvyšší úrovně windows[.]net útočníci servírovali svůj škodlivý kód z náhodných, rychle se měnících subdomén. To znamenalo, že i když byla určitá stránka označena jako škodlivá a umístěna do zdrojů škodlivých stránek, byla rychle odstraněna a nahrazena jinou adresou URL s „čistou“ reputací. Kvůli vysoce náhodným adresám URL subdomén by to útočníci mohli dělat znovu a znovu, přičemž útok stále udržovali.
  4. Vysoce propracovaný design – Na rozdíl od typických phishingových stránek byly tyto dobře navržené, profesionální a často aktualizované, aby se zabránilo odhalení bezpečnostními nástroji, které spoléhají na známé phishingové podpisy.
  5. Technologie Anti-bot a CAPTCHA – v některých variantách LayerX zjistil, že kód stránky obsahuje ověření proti botům a CAPTCHA. To bylo provedeno za účelem blogování automatických webových prohledávačů ochrany proti phishingu a zpoždění klasifikace stránky jako škodlivé.

Výsledkem byla sofistikovaná, vysoce efektivní a dlouhotrvající kampaň. LayerX tuto kampaň sleduje více než rok. Koncem roku 2024 a začátkem roku 2025 jsme však zaznamenali nárůst intenzity a objemu této kampaně, což bylo důkazem její účinnosti.

Toho si všiml i Microsoft, který v únoru 2025 zavedl v prohlížeči Edge novou funkci „anti-scareware“ pro boj s těmito útoky. Přibližně ve stejnou dobu byly podobné ochrany implementovány v prohlížečích Chrome a Firefox.

Akt II: Nové ochrany zneužijí starou kampaň

Po zavedení těchto ochran prohlížeče LayerX zaznamenal drastický 90% pokles útoků cílených na Windows.

LayerX stále pozoroval některé podobné škodlivé stránky, což znamená, že infrastruktura kampaně byla stále online. Uživatelé jej však nedosáhli.
Tento pokles připisujeme novým funkcím „anti-scareware“ od společnosti Microsoft (a dalších), které tyto útoky blokovaly.

Akt III: The Campaign Morphs to Target Users Mac

Zdá se však, že LayerX nebyla jediná, kdo zaznamenal pokles úspěšnosti útoků – všimli si toho i hackeři za ní.

Jejich odpověď: upravit kampaň tak, aby cílila na skupinu nechráněných uživatelů – v tomto případě na uživatele počítačů Mac.

Během 2 týdnů poté, co Microsoft zavedl novou ochranu proti phishingu, LayerX začala pozorovat útoky proti uživatelům počítačů Mac, na které se tato nová ochrana zřejmě nevztahovala.

 

Předtím LayerX nepozorovala útoky na Mac, ale pouze proti uživatelům Windows.

Nové pokusy o phishing byly vizuálně téměř totožné s útoky zaměřenými na uživatele Windows, s výjimkou několika kritických úprav:

  • Přepracováno rozvržení phishingové stránky a zasílání zpráv aby se uživatelům počítačů Mac zdálo legitimní.
  • Úpravy kódu specificky cílit na uživatele macOS a Safari využitím HTTP OS a parametrů uživatelského agenta.
  • Pokračující používání síťové infrastruktury Windows[.], zachování iluze legitimity.

Jak byly vlákány oběti

Vyšetřování společnosti LayerX odhalilo, že oběti byly přesměrovány na phishingové stránky prostřednictvím kompromitovaných stránek „parkování“ domény:

  1. Oběť se pokusila o přístup na legitimní web.
  2. Překlep v adrese URL je přivedl na prolomenou stránku parkování domény.
  3. Stránka je rychle přesměrovala přes několik webů, než se dostala na stránku phishingového útoku.

V jednom konkrétním případě byl obětí uživatel macOS a Safari pracující pro podnikového zákazníka LayerX. Přestože organizace používá zabezpečenou webovou bránu (SWG), útok ji obešel. Detekční systém LayerX založený na umělé inteligenci, který analyzuje webové stránky pomocí více než 250 parametrů na úrovni prohlížeče, však škodlivou stránku identifikoval a zablokoval dříve, než došlo k jakémukoli poškození.

Akt IV: Bitva pokračuje

Nové útoky cílené na Mac vyžadovaly od hackerů relativně minimální úpravy jejich stávající infrastruktury – především změny textu a některé změny kódu zaměřené na uživatele MacOS a Safari.

Tato útočná kampaň podtrhuje dva kritické body:

  1. Uživatelé počítačů Mac a Safari jsou nyní hlavními cíli – Přestože phishingové kampaně zacílené na uživatele počítačů Mac existovaly již dříve, jen zřídka dosáhly této úrovně sofistikovanosti.
  2. Kyberzločinci jsou vysoce přizpůsobiví – Jak se bezpečnostní opatření vyvíjejí, útočníci pokračují v úpravách své taktiky, což dokazuje, že organizace potřebují pokročilá, proaktivní bezpečnostní řešení.

Na základě dlouhé životnosti, složitosti a propracovanosti, kterou aktéři za touto útočnou kampaní doposud projevili, máme podezření, že jde pouze o jejich první reakci, protože přizpůsobují své útoky nové obraně.

Naše předpověď je, že v nadcházejících týdnech nebo měsících uvidíme oživenou vlnu útoků založených na této infrastruktuře, která bude zkoumat a testovat slabá místa v nové obraně společnosti Microsoft.

Toto je jen poslední připomínka toho, že předcházení phishingu a webovým útokům je nepřetržitý, nikdy nekončící boj.

Do další kapitoly…