LayerX Labs identificerede en ny nul-dages phishing-kampagne, der efterligner Microsofts sikkerhedsmeddelelser for at lokke ofre til at dele deres loginoplysninger og betalingsoplysninger. 

Angrebet efterligner en Microsoft Windows Defender-sikkerhedsalarm, der opfordrer brugerne til at ringe til et hotlinenummer, indtaste deres legitimationsoplysninger og betale til callcenteret for at 'sikre' deres computer. 

Dette angreb var i stand til at trænge ind i traditionelle netværkssikkerhedsmekanismer såsom Secure Web Gateways (SWG'er) og Security Service Edge (SSE) løsninger, fordi det bruger en række unddragelsesteknikker designet specielt til at omgå traditionelle sikkerhedsværktøjer

I denne blog vil vi dele detaljerne om denne hændelse, forklare, hvad der gør den unik, forklare, hvorfor den slap igennem traditionelle sikkerhedsmekanismer, og hvordan du kan beskytte dig selv (og din organisation) mod lignende forsøg.

 

Hændelsen: En Microsoft Alert Scam

Dette angreb blev identificeret i miljøet hos en af ​​LayerX's store virksomhedskunder, hvor det omgik flere lag af netværkssikkerhedskontrol, men blev automatisk blokeret af LayerX, før det kunne forårsage skade.

Angrebet anvender en enkel, men effektiv strategi - en webside, der ligner en Microsoft Windows Defender-advarsel, der hævder, at deres computer er blevet inficeret med malware.

Meddelelsen hævder, at brugerens enhed var inficeret med malware, og opfordrer dem til at ringe til et supportnummer for øjeblikkelig hjælp.

Brugere, der forsøgte at forlade siden, fik vist en besked, der hævdede, at deres enhed var låst, hvilket krævede, at de skulle indtaste deres legitimationsoplysninger for at logge ind. 

I nogle tilfælde, vi har testet, var sidekoden i stand til at få webbrowseren til at fryse, idet den efterlignede en sikkerhedsblokering fra Microsoft og igen fik dem til at ringe til det falske sikkerhedsnummer.

Denne form for social ingeniørkunst forgriber sig på intetanende brugeres hastende og angst. Ved at simulere en sikkerhedsnødsituation beder angribere brugerne om at handle med det samme, så de ikke tager sig tid til at granske advarslen for nøje.

Flere lag af risiko

Angribere bruger almindeligvis phishing-taktik til at narre brugere til at dele information eller give adgang til systemer. Uden avanceret detektion på plads kunne brugerne være blevet udsat for angrebet, hvilket udsatte dem for risiko for:

  • Ringe til det angivne hotlinenummer, hvor angribere kunne manipulere dem til at betale en løsesum eller give fjernadgang til deres systemer.
  • Indtastning af deres legitimationsoplysninger til phishing-siden, som angriberne kunne stjæle og bruge til kontoovertagelser.
  • Deres brugeroplysninger udnyttes til mere sofistikerede angreb eller sælges på det mørke web.

Hvorfor konventionelle forsvar mislykkedes

Mange organisationer implementerer Secure Web Gateway (SWG)-løsning til at håndtere browsertrusler og phishing-angreb. Ikke desto mindre blev dette angreb opdaget hos en LayerX-kunde, hvor dette angreb gik uden om organisationens SWG. Dette skyldes, at netværkslagsforsvar som SWG og e-mail-gateways typisk er afhængige af to primære metoder: 

  • Bloker lister over kendte ondsindede URL'er
  • Signaturer af kendte phishing-sider

Dette angreb var i stand til at omgå begge af følgende årsager:

1. Legitime hostingdomæne

Angriberne hostede deres phishing-side på et legitimt Microsoft-hostingdomæne: windows[.]net. 

Windows[.]net er en platform fra Microsoft for udviklere til at hoste .net- og Azure-webapplikationer. Det betyder, at phishing-siden befandt sig på Microsofts egen infrastruktur. Som et resultat, havde siden et højt omdømme på topniveaudomæne (TLD).

Dette fik den til at se ud for en ekstern observatør som en legitim side af Microsoft, og gjorde det muligt for den at omgå traditionelle URL-baserede forsvar. 

Selv hvis en URL-baseret forsvarsløsning identificerede ondsindet aktivitet, ville den typisk ikke blokere ULR, da blokering af alle underdomæner under `windows.net` ville forstyrre utallige legitime tjenester hostet af Microsoft og forårsage driftsproblemer for organisationer. 

2. Randomiserede underdomæner med nul timer

Angriberne gjorde brug af randomiserede underdomæner for at undgå opdagelse. LayerX labs fangede 'pushalm83e.z13.web.core.windows[.]net'. Disse domænestrenge kan dog nemt genereres og ofte roteres. 

Dette giver angribere mulighed for at sikre, at siden ikke matcher nogen eksisterende trusselsintelligens eller URL-sortlister på plads. Denne taktik, der ofte omtales som en "zero-hour"-teknik, gør det muligt for phishing-websteder at forblive online lige længe nok til at fange ofre, før de bliver taget ned og roteret til et andet randomiseret underdomæne.

3. Lav Phishing Kit-lighed

Designet af phishing-siden var nyt og matchede ikke eksisterende skabeloner, hashes og signaturer, der almindeligvis ses i phishing-sæt. Dette gjorde det muligt for siden at unddrage sig opdagelse ved hjælp af løsninger, der var afhængige af phishing-sidelighedsanalyse.

Kontroller, der kun er afhængige af phishing-skabeloner og -lister, uden at inspicere selve websidens indhold, vil blive omgået af avancerede og kreative angreb.

Ikke desto mindre var LayerX på trods af disse egenskaber i stand til at opdage og blokere dette angreb i tide.

Hvorfor LayerX opdagede, når ældre forsvar mislykkedes

I modsætning til traditionelle netværkssikkerhedsværktøjer, der primært er afhængige af lister over kendte dårlige URL'er, beskytter LayerX mod phishing og social engineering ved at udnytte URL-filtrering med realtidsanalyse af sideadfærd. 

LayerX's realtidsanalyse af webindhold er ikke udelukkende afhængig af domæneomdømme eller statiske signaturer. I stedet bruger den et AI-drevet neuralt netværk til at opdage risikofaktorer i realtid, selv for tidligere usete angreb. Som et resultat, da phishing-siden forsøgte at bede brugere om at indtaste legitimationsoplysninger eller ringe til et supportnummer, identificerede LayerX's løsning straks dette forsøg, markerede det som mistænkeligt og blokerede automatisk siden, hvilket forhindrede potentiel skade.

LayerX er den første løsning, der løfter udfordringen med at sikre den mest målrettede og udsatte angrebsflade i dag – browseren, uden at påvirke brugeroplevelsen. 

LayerX leverer omfattende beskyttelse af alle netbårne trusler med kontinuerlig overvågning, risikoanalyse og håndhævelse i realtid af enhver hændelse og brugeraktivitet i browsersessionen. 

Virksomheder udnytter disse muligheder til at sikre deres enheder, identiteter, data og SaaS-apps mod netbårne trusler og browsingrisici, som endpoint- og netværksløsninger ikke kan beskytte mod. Disse omfatter blokering af datalækage over nettet, SaaS-apps og GenAI-værktøjer, forebyggelse af legitimations-tyveri fra phishing, håndhævelse af sikker adgang til SaaS-ressourcer af den interne eller eksterne arbejdsstyrke for at mindske risikoen for kontoovertagelse, opdagelse og deaktivering af ondsindede browserudvidelser , Shadow SaaS og mere.

LayerX Enterprise Browser Extension integreres naturligt med enhver browser og gør den til det mest sikre og overskuelige arbejdsområde. Læs mere.