V posledních letech útočníci i obránci zvýšili své schopnosti v nekonečné hře na kočku a myš. Útočníci rozšířili své phishingové operace o krádež přihlašovacích údajů a identit. Ochránci přijali přístup k zabezpečení s nulovou důvěrou, ve kterém uživatelé často používají svá mobilní zařízení k autentizaci do svých desktopových aplikací. Honička pokračuje.

V nedávné, docela fascinující kampani, útočníci využili tohoto nedávného pokroku obránce a využili plochu pro útok na desktopu k distribuci škodlivé mobilní aplikace (iPhone).

Škodlivé aplikace pro iPhone není snadné propašovat do obchodu s aplikacemi. Když jsou úspěšné, mohou být použity různými způsoby ke krádeži identity. Důvěřujete mobilnímu zařízení svých zaměstnanců, že je ověří do vašich aplikací připojených k jednotnému přihlášení? Ujistěte se, že jsou chráněny.

TL;DR – Útočné kroky

  1. Distribuce – Malvertising na populárním bezplatném streamovacím webu.
  2. Falešný video podvod – Požádání uživatelů, aby naskenovali QR kód svým mobilním zařízením.
  3. Přeskakování mezi zařízeními – QR kód otevře na mobilním zařízení zaměstnance vytvořenou vstupní stránku sociálního inženýrství.
  4. Užitné zatížení – Útok přesměruje uživatele ke stažení škodlivé mobilní aplikace z obchodu s aplikacemi.

Distribuce

Podle výzkumů LayerX útok začíná prominentní malvertisingovou kampaní URL falešného videa. V tomto útoku byla malvertising distribuována prostřednictvím populární streamovací webové stránky hxxps://fmovies.to (celosvětově na 715. místě!). Je třeba zdůraznit, že stejná infrastruktura škodlivé inzerce byla viděna tlačena na jiných webových stránkách, z nichž mnohé poskytují bezplatné streamování filmů, sportovních zápasů a televizních pořadů.

Nyní je vhodná doba, abychom si připomněli základní pravdu o webu: pokud je zdarma, pak jste produktem vy!

Falešné video

Obsah malvertisingu je adresa URL falešného videa, které uživatel chtěl sledovat.

Falešné video užitečné zatížení malvertisingové kampaně

Dvě sekundy po videu se obrazovka překryje QR kódem a pokyny k jeho naskenování pomocí mobilního zařízení. Tato stránka (stejně jako několik dalších instancí) byla zachycena modulem LayerX pro prevenci hrozeb v reálném čase, který skenuje podezřelé webové stránky z prohlížeče.

Za zmínku stojí, že stejná infrastruktura distribuuje pokaždé jiné vstupní stránky. Proto odhadujeme, že jde o nezávislý podnik, který zpeněžuje zobrazování na vstupních stránkách. Také se domníváme, že jeho vlastník není stejný jako v dalším kroku útoku.

Zde je další příklad jiné výzvy iniciované falešným videem:

hxxps://watch-online.7vuoh5i80tys.top/share/5/

Netřeba dodávat, že skenování QR kódu nedává přístup k filmu, ale vede k dalšímu kroku útoku, provedenému na mobilním zařízení. Nevyhazujte však svůj popcorn, jako tento útok sociálního inženýrství brzy předvede skvělé herecké výkony a speciální efekty...

Sociální inženýrství mobilních zařízení

Tým pro výzkum hrozeb LayerX prozkoumal tento útok a přistoupil k němu z mobilního zařízení iPhone. QR kód otevře škodlivou vstupní stránku s falešnou bezpečnostní výzvou.

Falešná bezpečnostní výzva pro iPhone

Výzva zobrazuje děsivá varování před viry nalezenými v zařízení, které brzy poškodí SIM kartu zařízení! 

URL ukazuje, že vstupní stránka využívá metadata zařízení, ke kterým má přístup, a vytváří vstupní stránku šitou na míru. Na obsahu není nic zvláštního kromě toho, že se používá pro sociální inženýrství; všechny atributy zařízení jsou přístupné pro mobilní vstupní stránky.

Toto přeskakování mezi zařízeními je skvělá technika, kterou útočníci používají k oklamání standardních bezpečnostních systémů. Jakmile uživatel naskenuje škodlivý QR kód, organizace může ztratit přehled o postiženém mobilním zařízení.  

Protože my, LayerXers, očekávali, že uvidíme film, neměli jsme jinou možnost, než kliknout na tlačítko „opravit nyní“ a podívat se, co se stane dál.

Užitné zatížení

aplikace TGuard

Odkaz nás zavedl na tuto stránku mobilní aplikace, která představuje TGuard, který byl mezitím odstraněn z obchodu s aplikacemi. Aplikace tvrdí, že poskytuje funkce produktivity (jako je sledování času) a mohla být cílena jak na podnikové uživatele, tak na běžné uživatele. 

Přestože byla mobilní aplikace odstraněna, web operátorů je stále ve vzduchu:

Shrnutí

Tato kreativní kampaň je vynikajícím příkladem toho, jak útočníci snadno infiltrují firemní perimetr využitím lidského prvku. Je to stejná lidská slabost, kvůli které vidíme bezplatné streamovací stránky jako spravedlivý filantropický podnik, naskenujeme stinné QR a poté nainstalujeme mobilní aplikaci z neznámého zdroje.

Funkční novinkou tohoto útoku je přeskakování mezi zařízeními. Myslím, že jen hrstka podniků je dnes schopna odhalit takový útok, který se zaměřuje na nespravovaná mobilní zařízení zaměstnanců.

MOV: