En ny phishing-angrebskampagne, rettet mod Mac-brugere og identificeret af LayerX Labs, viser prøvelser og prøvelser med at bekæmpe online phishing, og hvordan angreb udvikler sig og skifter som reaktion på tilpasninger af sikkerhedsværktøjer.

I de sidste par måneder har LayerX overvåget en sofistikeret phishing-kampagne, der oprindeligt var rettet mod Windows-brugere ved at udgive sig for at være Microsofts sikkerhedsadvarsler. Kampagnens mål var at stjæle brugeroplysninger ved at bruge vildledende taktikker, der fik ofrene til at tro, at deres computere var kompromitteret.

Nu, med nye sikkerhedsfunktioner udrullet af Microsoft, Chrome og Firefox, har angriberne flyttet deres fokus til Mac-brugere.

Akt I: Målretning mod Windows-brugere

Det oprindelige phishing-angreb involverede kompromitterede websteder, der viste falske sikkerhedsadvarsler, der hævdede, at brugerens computer var blevet 'kompromitteret' og 'låst'. Angriberne bad brugerne om at indtaste deres Windows-brugernavn og -adgangskode. Samtidig fik ondsindet kode websiden til at fryse, hvilket skabte illusionen om, at hele computeren var låst. Det oprindelige phishing-angreb involverede kompromitterede websteder, der viste falske sikkerhedsadvarsler, der hævdede, at brugerens computer var blevet 'kompromitteret' og 'låst'. Angriberne bad brugerne om at indtaste deres Windows-brugernavn og -adgangskode. Samtidig fik ondsindet kode websiden til at fryse, hvilket skabte en illusion om, at hele computeren var låst.

 

LayerX har tidligere skrevet om denne kampagne på vores blog.

Hvorfor denne kampagne var svær at stoppe:

  1. Hostet på en Microsoft-platform – Phishing-siderne blev hostet på Microsofts Windows.net-platform (en åben platform fra Microsoft til hosting af Azure-applikationer). I forbindelse med angrebet fik dette beskederne til at virke legitime, da de var sikkerhedsadvarsler (angiveligt) fra Microsoft, der kom fra en side på et Windows[.]net-domæne.
  2. Udnyttelse af hostingtjenester – En anden almindelig taktik, der blev brugt af angribere i dette tilfælde, var at bruge en betroet hostingtjeneste som den underliggende infrastruktur for ondsindede sider. Årsagen til dette er, at traditionelle anti-phishing-forsvar såsom Secure Web Gateways (SWG'er) og e-mailsikkerhedsløsninger ofte vurderer siderisiko baseret på domænets omdømme som Top Level Domain (TLD). I dette tilfælde er TLD (windows[.]net) en velkendt og meget brugt platform af en velrenommeret udbyder (Microsoft), med en høj TLD-omdømmescore. Som et resultat var disse sider i stand til at omgå traditionelle beskyttelsesmekanismer.
  3. Randomiserede, hurtigt skiftende underdomæner – under det generelle topdomæne af windows[.]net serverede angribere deres ondsindede kode fra randomiserede, hurtigt omdannende underdomæner. Dette betød, at selvom en bestemt side blev markeret for at være ondsindet og placeret i feeds på ondsindede sider, blev den hurtigt fjernet og erstattet af en anden URL med et 'rent' omdømme. På grund af de meget tilfældige underdomæne-URL'er kunne angribere gøre dette igen og igen, mens angrebet stadig bevares.
  4. Meget sofistikeret design – I modsætning til typiske phishing-sider var disse veldesignede, professionelle og hyppigt opdaterede for at undgå opdagelse af sikkerhedsværktøjer, der var afhængige af kendte phishing-signaturer.
  5. Anti-bot og CAPTCHA teknologier – i nogle varianter observerede LayerX, at sidekoden inkluderede anti-bot og CAPTCHA-verifikation. Dette blev gjort for at blogge automatiserede webcrawlere af anti-phishing-beskyttelse og forsinke sidens klassificering som ondsindet.

Resultatet var en sofistikeret, yderst effektiv og langvarig kampagne. LayerX har fulgt denne kampagne i over et år. Men i slutningen af ​​2024 og begyndelsen af ​​2025 observerede vi en stigning i intensiteten og volumen af ​​denne kampagne, hvilket var et vidnesbyrd om dens effektivitet.

Dette blev også bemærket af Microsoft, som i februar 2025 introducerede en ny 'anti-scareware'-funktion i Edge-browseren for at bekæmpe disse angreb. Omtrent på samme tid blev lignende beskyttelser implementeret i Chrome og Firefox.

Akt II: Nye beskyttelser gør den gamle kampagne ubrugelig

Efter introduktionen af ​​disse browserbeskyttelser observerede LayerX et drastisk fald på 90 % i Windows-målrettede angreb.

LayerX observerede stadig nogle lignende ondsindede sider, hvilket betyder, at kampagneinfrastrukturen stadig var online. Brugerne nåede det dog ikke.
Vi tilskriver dette fald i de nye 'anti-scareware'-funktioner fra Microsoft (og andre), der blokerede disse angreb.

Act III: The Campaign Morphs to Target Mac-brugere

Det ser dog ud til, at LayerX ikke var den eneste, der observerede et fald i succesraten for angreb - hackerne bag lagde også mærke til det.

Deres svar: modificer kampagnen, så den er målrettet mod en gruppe ubeskyttede brugere – i dette tilfælde: Mac-brugere.

Inden for 2 uger efter, at Microsoft udrullede det nye anti-phishing-forsvar, begyndte LayerX at observere angreb mod Mac-brugere, som - tilsyneladende - ikke var dækket af disse nye forsvar.

 

Før dette har LayerX ikke observeret angreb på Mac, men kun mod Windows-brugere.

De nye phishing-forsøg var visuelt næsten identiske med angrebene rettet mod Windows-brugere, bortset fra nogle få kritiske ændringer:

  • Phishing-sidelayout og beskeder redesignet for at virke legitim for Mac-brugere.
  • Kodejusteringer til specifikt at målrette mod macOS- og Safari-brugere ved at udnytte HTTP OS og brugeragentparametre.
  • Fortsat brug af Windows[.]net-infrastruktur, opretholdelse af illusionen om legitimitet.

Hvordan ofre blev lokket ind

LayerX's undersøgelse afslørede, at ofrene blev omdirigeret til phishing-siderne via kompromitterede domæne-parkeringssider:

  1. Offeret forsøgte at få adgang til en lovlig hjemmeside.
  2. En tastefejl i URL'en førte dem til en kompromitteret domæneparkeringsside.
  3. Siden omdirigerede dem hurtigt gennem flere websteder, før de landede på phishing-angrebssiden.

I et specifikt tilfælde var offeret en macOS- og Safari-bruger, der arbejdede for en LayerX-virksomhedskunde. På trods af at organisationen brugte en Secure Web Gateway (SWG), omgik angrebet det. LayerX's AI-baserede detektionssystem, som analyserer websider ved hjælp af over 250 parametre på browserniveau, identificerede og blokerede den ondsindede side, før der skete nogen skade.

Akt IV: Kampen fortsætter

De nye Mac-målrettede angreb krævede relativt minimale ændringer af hackere af deres eksisterende infrastruktur – primært tekstændringer og nogle kodeændringer for at målrette MacOS- og Safari-brugere.

Denne angrebskampagne understreger to kritiske punkter:

  1. Mac- og Safari-brugere er nu primære mål – Selvom phishing-kampagner målrettet Mac-brugere har eksisteret før, har de sjældent nået dette sofistikerede niveau.
  2. Cyberkriminelle er meget tilpasningsdygtige – Efterhånden som sikkerhedsforanstaltningerne udvikler sig, fortsætter angriberne med at ændre deres taktik, hvilket beviser, at organisationer har brug for avancerede, proaktive sikkerhedsløsninger.

Baseret på levetiden, kompleksiteten og sofistikeringen, som aktørerne bag denne angrebskampagne indtil videre har udvist, formoder vi, at dette kun er et første svar fra dem, da de tilpasser deres angreb til nye forsvar.

Vores forudsigelse er, at vi i de kommende uger eller måneder vil se en genopstået bølge af angreb baseret på denne infrastruktur, mens den undersøger og tester for svage punkter i Microsofts nye forsvar.

Dette er blot den seneste påmindelse om, at forebyggelse af phishing og webangreb er en kontinuerlig, uendelig kamp.

Indtil næste kapitel...