Μια νέα καμπάνια επιθέσεων phishing, που στοχεύει χρήστες Mac και αναγνωρίζεται από τα LayerX Labs, δείχνει τις δοκιμασίες και τις δοκιμασίες της καταπολέμησης του διαδικτυακού ψαρέματος και πώς οι επιθέσεις μεταμορφώνονται και μετατοπίζονται ως απόκριση στις προσαρμογές των εργαλείων ασφαλείας.

Τους τελευταίους μήνες, η LayerX παρακολουθεί μια εξελιγμένη καμπάνια phishing που αρχικά στόχευε χρήστες Windows μεταμφιεσμένη σε ειδοποιήσεις ασφαλείας της Microsoft. Ο στόχος της καμπάνιας ήταν να κλέψει τα διαπιστευτήρια των χρηστών χρησιμοποιώντας παραπλανητικές τακτικές που έκαναν τα θύματα να πιστεύουν ότι οι υπολογιστές τους είχαν παραβιαστεί.

Τώρα, με τις νέες δυνατότητες ασφαλείας που κυκλοφόρησαν από τη Microsoft, το Chrome και τον Firefox, οι εισβολείς έχουν στρέψει το ενδιαφέρον τους στους χρήστες Mac.

Πράξη I: Στόχευση χρηστών των Windows

Η αρχική επίθεση phishing περιελάμβανε παραβιασμένους ιστότοπους που εμφάνιζαν ψεύτικες προειδοποιήσεις ασφαλείας που ισχυρίζονταν ότι ο υπολογιστής του χρήστη είχε «παραβιαστεί» και «κλειδωθεί». Οι εισβολείς ζήτησαν από τους χρήστες να εισαγάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στα Windows. Ταυτόχρονα, κακόβουλος κώδικας προκάλεσε το πάγωμα της ιστοσελίδας, δημιουργώντας την ψευδαίσθηση ότι ολόκληρος ο υπολογιστής ήταν κλειδωμένος. Η αρχική επίθεση ηλεκτρονικού "ψαρέματος" περιελάμβανε παραβιασμένους ιστότοπους που εμφάνιζαν ψεύτικες προειδοποιήσεις ασφαλείας που ισχυρίζονταν ότι ο υπολογιστής του χρήστη είχε "παραβιαστεί" και "κλειδωθεί". Οι εισβολείς ζήτησαν από τους χρήστες να εισαγάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στα Windows. Ταυτόχρονα, κακόβουλος κώδικας προκάλεσε το πάγωμα της ιστοσελίδας, δημιουργώντας την ψευδαίσθηση ότι ολόκληρος ο υπολογιστής ήταν κλειδωμένος.

 

Το LayerX έχει γράφτηκε παλαιότερα για αυτήν την καμπάνια στο blog μας.

Γιατί ήταν δύσκολο να σταματήσει αυτή η καμπάνια:

  1. Φιλοξενείται σε πλατφόρμα Microsoft – Οι σελίδες phishing φιλοξενήθηκαν στην πλατφόρμα Windows.net της Microsoft (μια ανοιχτή πλατφόρμα της Microsoft για τη φιλοξενία εφαρμογών Azure). Στο πλαίσιο της επίθεσης, αυτό έκανε τα μηνύματα να φαίνονται νόμιμα, καθώς ήταν προειδοποιήσεις ασφαλείας (υποτίθεται) από τη Microsoft, προερχόμενες από μια σελίδα σε έναν τομέα windows[.]net.
  2. Αξιοποίηση Υπηρεσιών Φιλοξενίας – Μια άλλη κοινή τακτική που χρησιμοποιήθηκε από τους εισβολείς σε αυτήν την περίπτωση ήταν η χρήση μιας αξιόπιστης υπηρεσίας φιλοξενίας ως υποκείμενης υποδομής για κακόβουλες σελίδες. Ο λόγος για αυτό είναι ότι οι παραδοσιακές άμυνες κατά του phishing, όπως οι ασφαλείς πύλες Ιστού (SWG) και οι λύσεις ασφάλειας ηλεκτρονικού ταχυδρομείου συχνά αξιολογούν τον κίνδυνο σελίδας με βάση τη φήμη του τομέα ανώτατου επιπέδου (TLD). Σε αυτήν την περίπτωση, το TLD (windows[.]net) είναι μια πολύ γνωστή και ευρέως χρησιμοποιούμενη πλατφόρμα από έναν αξιόπιστο πάροχο (Microsoft), με υψηλή βαθμολογία φήμης TLD. Ως αποτέλεσμα, αυτές οι σελίδες μπόρεσαν να παρακάμψουν τους παραδοσιακούς μηχανισμούς προστασίας.
  3. Τυχαιοποιημένοι, ταχέως μεταβαλλόμενοι υποτομείς – κάτω από τον γενικό τομέα ανώτατου επιπέδου των windows[.]net, οι εισβολείς εξυπηρέτησαν τον κακόβουλο κώδικά τους από τυχαιοποιημένους υποτομείς που μεταμορφώνονταν γρήγορα. Αυτό σήμαινε ότι ακόμη και αν μια συγκεκριμένη σελίδα επισημάνθηκε ως κακόβουλη και τοποθετήθηκε σε ροές κακόβουλων σελίδων, καταργήθηκε γρήγορα και αντικαταστάθηκε από μια άλλη διεύθυνση URL με τη φήμη «καθαρή». Λόγω των εξαιρετικά τυχαίων URL υποτομέων, οι εισβολείς μπορούσαν να το κάνουν αυτό ξανά και ξανά, διατηρώντας παράλληλα την επίθεση.
  4. Εξαιρετικά εξελιγμένος σχεδιασμός – Σε αντίθεση με τις τυπικές σελίδες phishing, αυτές ήταν καλοσχεδιασμένες, επαγγελματικές και ενημερώνονταν συχνά για να αποφεύγεται ο εντοπισμός από εργαλεία ασφαλείας που βασίζονται σε γνωστές υπογραφές phishing.
  5. Τεχνολογίες Anti-bot και CAPTCHA – σε ορισμένες παραλλαγές, το LayerX παρατήρησε ότι ο κώδικας της σελίδας περιελάμβανε επαλήθευση anti-bot και CAPTCHA. Αυτό έγινε για να ιστολογηθούν αυτοματοποιημένα προγράμματα ανίχνευσης ιστού με προστασία κατά του phishing και να καθυστερήσει η ταξινόμηση της σελίδας ως κακόβουλης.

Το αποτέλεσμα ήταν μια εξελιγμένη, εξαιρετικά αποτελεσματική και μακροχρόνια καμπάνια. Η LayerX παρακολουθεί αυτήν την καμπάνια για περισσότερο από ένα χρόνο. Ωστόσο, στα τέλη του 2024 και στις αρχές του 2025, παρατηρήσαμε αύξηση της έντασης και του όγκου αυτής της εκστρατείας, κάτι που ήταν απόδειξη της αποτελεσματικότητάς της.

Αυτό παρατήρησε και η Microsoft, η οποία τον Φεβρουάριο του 2025 εισήγαγε μια νέα δυνατότητα «anti-scareware» στο πρόγραμμα περιήγησης Edge για την καταπολέμηση αυτών των επιθέσεων. Την ίδια περίοδο, παρόμοιες προστασίες εφαρμόστηκαν στον Chrome και στον Firefox.

Πράξη II: Νέες προστασίες καθιστούν την παλιά καμπάνια άχρηστη

Μετά την εισαγωγή αυτών των προστασιών του προγράμματος περιήγησης, το LayerX παρατήρησε μια δραστική πτώση 90% στις επιθέσεις στοχευμένες στα Windows.

Το LayerX εξακολουθούσε να παρατηρεί ορισμένες παρόμοιες κακόβουλες σελίδες, πράγμα που σημαίνει ότι η υποδομή της καμπάνιας ήταν ακόμα online. Ωστόσο, οι χρήστες δεν το έφτασαν.
Αποδίδουμε αυτήν την πτώση των νέων χαρακτηριστικών «anti-scareware» από τη Microsoft (και άλλους), που εμπόδιζαν αυτές τις επιθέσεις.

Πράξη III: Η καμπάνια μεταμορφώνεται για να στοχεύει χρήστες Mac

Ωστόσο, φαίνεται ότι το LayerX δεν ήταν το μόνο που παρατήρησε πτώση στο ποσοστό επιτυχίας των επιθέσεων – το παρατήρησαν και οι χάκερ πίσω από αυτό.

Η απάντησή τους: τροποποιήστε την καμπάνια για να στοχεύσετε μια ομάδα απροστάτευτων χρηστών – σε αυτήν την περίπτωση: χρήστες Mac.

Μέσα σε 2 εβδομάδες αφότου η Microsoft παρουσίασε τις νέες άμυνες κατά του phishing, το LayerX άρχισε να παρατηρεί επιθέσεις εναντίον χρηστών Mac, οι οποίοι – προφανώς – δεν καλύπτονταν από αυτές τις νέες άμυνες.

 

Πριν από αυτό, το LayerX δεν είχε παρατηρήσει επιθέσεις σε Mac, αλλά μόνο εναντίον χρηστών των Windows.

Οι νέες προσπάθειες phishing ήταν οπτικά σχεδόν πανομοιότυπες με τις επιθέσεις που στοχεύουν χρήστες των Windows, εκτός από μερικές κρίσιμες τροποποιήσεις:

  • Η διάταξη της σελίδας phishing και η ανταλλαγή μηνυμάτων επανασχεδιάστηκαν για να φαίνεται νόμιμη στους χρήστες Mac.
  • Προσαρμογές κωδικών για να στοχεύσετε συγκεκριμένα χρήστες macOS και Safari αξιοποιώντας τις παραμέτρους του λειτουργικού συστήματος HTTP και του παράγοντα χρήστη.
  • Συνεχής χρήση της υποδομής Windows[.]net, διατηρώντας την ψευδαίσθηση της νομιμότητας.

Πώς παρασύρθηκαν τα θύματα

Η έρευνα του LayerX αποκάλυψε ότι τα θύματα ανακατευθύνθηκαν στις σελίδες phishing μέσω σελίδων "στάθμευσης" παραβιασμένου τομέα:

  1. Το θύμα προσπάθησε να αποκτήσει πρόσβαση σε μια νόμιμη ιστοσελίδα.
  2. Ένα τυπογραφικό λάθος στη διεύθυνση URL τους οδήγησε σε μια παραβιασμένη σελίδα στάθμευσης τομέα.
  3. Η σελίδα τους ανακατεύθυνε γρήγορα μέσω πολλών ιστότοπων προτού προσγειωθεί στη σελίδα επίθεσης phishing.

Σε μια συγκεκριμένη περίπτωση, το θύμα ήταν χρήστης macOS και Safari που εργαζόταν για έναν εταιρικό πελάτη του LayerX. Παρά το γεγονός ότι ο οργανισμός χρησιμοποιεί μια ασφαλή πύλη Ιστού (SWG), η επίθεση το παρέκαμψε. Ωστόσο, το σύστημα ανίχνευσης που βασίζεται σε AI του LayerX, το οποίο αναλύει ιστοσελίδες χρησιμοποιώντας περισσότερες από 250 παραμέτρους σε επίπεδο προγράμματος περιήγησης, εντόπισε και απέκλεισε την κακόβουλη σελίδα προτού προκληθεί οποιαδήποτε ζημιά.

Πράξη IV: Η μάχη συνεχίζεται

Οι νέες επιθέσεις στόχευσης Mac απαιτούσαν σχετικά ελάχιστες τροποποιήσεις από τους χάκερ της υπάρχουσας υποδομής τους – κυρίως αλλαγές κειμένου και ορισμένες αλλαγές κώδικα για να στοχεύσουν χρήστες MacOS και Safari.

Αυτή η εκστρατεία επίθεσης υπογραμμίζει δύο κρίσιμα σημεία:

  1. Οι χρήστες Mac και Safari είναι πλέον πρωταρχικοί στόχοι – Ενώ οι καμπάνιες phishing που στόχευαν χρήστες Mac υπήρχαν στο παρελθόν, σπάνια έφτασαν σε αυτό το επίπεδο πολυπλοκότητας.
  2. Οι εγκληματίες του κυβερνοχώρου είναι ιδιαίτερα προσαρμόσιμοι – Καθώς εξελίσσονται τα μέτρα ασφαλείας, οι εισβολείς συνεχίζουν να τροποποιούν τις τακτικές τους, αποδεικνύοντας ότι οι οργανισμοί χρειάζονται προηγμένες, προληπτικές λύσεις ασφάλειας.

Με βάση τη μακροζωία, την πολυπλοκότητα και την πολυπλοκότητα που επιδεικνύουν οι ηθοποιοί πίσω από αυτήν την εκστρατεία επίθεσης μέχρι στιγμής, υποψιαζόμαστε ότι αυτή είναι απλώς μια πρώτη απάντηση από αυτούς, καθώς προσαρμόζουν τις επιθέσεις τους σε νέες άμυνες.

Η πρόβλεψή μας είναι ότι τις επόμενες εβδομάδες ή μήνες, θα δούμε ένα αναζωπυρούμενο κύμα επιθέσεων με βάση αυτήν την υποδομή, καθώς διερευνά και δοκιμάζει για αδύναμα σημεία στις νέες άμυνες της Microsoft.

Αυτή είναι απλώς η πιο πρόσφατη υπενθύμιση ότι η αποτροπή επιθέσεων ηλεκτρονικού "ψαρέματος" και ιστού είναι μια συνεχής, ατέρμονη μάχη.

Μέχρι το επόμενο κεφάλαιο…