Nova kampanja phishing napada, usmjerena na korisnike Maca i identificirana od strane LayerX Labs, pokazuje iskušenja i nevolje borbe protiv online phishinga, te kako se napadi pretvaraju i mijenjaju kao odgovor na prilagodbe sigurnosnih alata.

Proteklih nekoliko mjeseci LayerX je pratio sofisticiranu phishing kampanju koja je u početku ciljala korisnike Windowsa maskirajući se u Microsoftova sigurnosna upozorenja. Cilj kampanje bio je ukrasti korisničke vjerodajnice primjenom prijevarnih taktika koje su natjerale žrtve da vjeruju da su im računala ugrožena.

Sada, s novim sigurnosnim značajkama koje su uveli Microsoft, Chrome i Firefox, napadači su svoj fokus prebacili na korisnike Maca.

Čin I: Ciljanje na Windows korisnike

Izvorni phishing napad uključivao je kompromitirane web stranice koje su prikazivale lažna sigurnosna upozorenja u kojima se tvrdilo da je korisnikovo računalo 'kompromitirano' i 'zaključano'. Napadači su tražili od korisnika da unesu svoje korisničko ime i lozinku za Windows. Istovremeno je zlonamjerni kod uzrokovao zamrzavanje web stranice, stvarajući iluziju da je cijelo računalo zaključano. Izvorni phishing napad uključivao je kompromitirane web stranice koje su prikazivale lažna sigurnosna upozorenja u kojima se tvrdilo da je računalo korisnika 'kompromitirano' i 'zaključano'. Napadači su tražili od korisnika da unesu svoje korisničko ime i lozinku za Windows. Istovremeno je zlonamjerni kod uzrokovao zamrzavanje web stranice, stvarajući iluziju da je cijelo računalo zaključano.

 

LayerX ima ranije pisano o ovoj kampanji na našem blogu.

Zašto je ovu kampanju bilo teško zaustaviti:

  1. Hostirano na Microsoftovoj platformi – Stranice za krađu identiteta bile su smještene na Microsoftovoj platformi Windows.net (Microsoftova otvorena platforma za hosting Azure aplikacija). U kontekstu napada, zbog toga su poruke izgledale legitimne, budući da su bile sigurnosna upozorenja (navodno) Microsofta, koja dolaze sa stranice na windows[.]net domeni.
  2. Iskorištavanje usluga hostinga – Druga uobičajena taktika koju su koristili napadači u ovom slučaju bila je korištenje pouzdane usluge hostinga kao temeljne infrastrukture za zlonamjerne stranice. Razlog za to je što tradicionalne obrane protiv krađe identiteta kao što su sigurni web pristupnici (SWG) i sigurnosna rješenja za e-poštu često procjenjuju rizik stranice na temelju reputacije domene vrhovne domene (TLD). U ovom slučaju, TLD (windows[.]net) je dobro poznata i vrlo korištena platforma od strane uglednog pružatelja usluga (Microsoft), s visokim rezultatom reputacije TLD-a. Kao rezultat toga, te su stranice uspjele zaobići tradicionalne mehanizme zaštite.
  3. Nasumične poddomene koje se brzo mijenjaju – pod općom domenom najviše razine windows[.]net, napadači su servirali svoj zloćudni kod iz nasumičnih poddomena koje se brzo mijenjaju. To je značilo da čak i ako je određena stranica označena kao zlonamjerna i postavljena u feedove zlonamjernih stranica, brzo je uklonjena i zamijenjena drugim URL-om s 'čistom' reputacijom. Zbog vrlo nasumičnih URL-ova poddomena, napadači bi to mogli činiti iznova i iznova, a da pritom nastave s napadom.
  4. Visoko sofisticirani dizajn – Za razliku od tipičnih stranica za krađu identiteta, ove su bile dobro dizajnirane, profesionalne i često ažurirane kako bi se izbjeglo otkrivanje sigurnosnim alatima koji se oslanjaju na poznate potpise krađe identiteta.
  5. Anti-bot i CAPTCHA tehnologije – u nekim varijantama, LayerX je primijetio da kod stranice uključuje anti-bot i CAPTCHA provjeru. To je učinjeno kako bi se blogirali automatizirani alati za indeksiranje weba zaštite od krađe identiteta i odgodilo klasificiranje stranice kao zlonamjerne.

Rezultat je bila sofisticirana, vrlo učinkovita i dugotrajna kampanja. LayerX prati ovu kampanju više od godinu dana. No, krajem 2024. i početkom 2025. primijetili smo povećanje intenziteta i obujma ove kampanje, što je dokaz njezine učinkovitosti.

To je primijetio i Microsoft, koji je u veljači 2025. predstavio novu 'anti-scareware' značajku u pregledniku Edge za borbu protiv ovih napada. Otprilike u isto vrijeme, slične zaštite implementirane su u Chrome i Firefox.

Čin II: Nova zaštita čini staru kampanju beskorisnom

Nakon uvođenja ovih zaštita preglednika, LayerX je primijetio drastičan pad od 90% u napadima usmjerenim na Windows.

LayerX je još uvijek promatrao neke slične zlonamjerne stranice, što znači da je infrastruktura kampanje još bila online. Međutim, korisnici nisu dolazili do njega.
Ovo pripisujemo padu novih 'anti-scareware' značajki Microsofta (i drugih) koje su blokirale ove napade.

Čin III: Kampanja se pretvara u ciljne korisnike Mac računala

No, čini se da LayerX nije jedini koji je primijetio pad uspješnosti napada – primijetili su to i hakeri koji stoje iza njega.

Njihov odgovor: modificirajte kampanju tako da cilja na grupu nezaštićenih korisnika – u ovom slučaju: korisnike Maca.

U roku od 2 tjedna nakon što je Microsoft uveo novu obranu protiv krađe identiteta, LayerX je počeo promatrati napade na Mac korisnike, koji – očito – nisu bili pokriveni ovom novom obranom.

 

Prije ovoga, LayerX nije primijetio napade na Macu, već samo protiv Windows korisnika.

Novi pokušaji krađe identiteta bili su vizualno gotovo identični napadima koji ciljaju korisnike Windowsa, osim nekoliko kritičnih izmjena:

  • Redizajnirani izgled stranice za krađu identiteta i razmjena poruka kako bi korisnicima Maca izgledalo legitimno.
  • Prilagodbe koda kako bi posebno ciljali korisnike macOS-a i Safarija koristeći HTTP OS i parametre korisničkog agenta.
  • Nastavak korištenja Windows[.]net infrastrukture, održavajući iluziju legitimnosti.

Kako su namamljivane žrtve

Istraga tvrtke LayerX otkrila je da su žrtve preusmjerene na stranice za krađu identiteta putem stranica za 'parkiranje' ugrožene domene:

  1. Žrtva je pokušala pristupiti legitimnoj web stranici.
  2. Pogreška u URL-u dovela ih je do stranice za parkiranje ugrožene domene.
  3. Stranica ih je brzo preusmjerila kroz više web-mjesta prije nego što su sletjeli na stranicu za krađu identiteta.

U jednom konkretnom slučaju, žrtva je bio korisnik macOS-a i Safarija koji je radio za poslovnog korisnika LayerX-a. Unatoč tome što je organizacija koristila Secure Web Gateway (SWG), napad ga je zaobišao. Međutim, LayerX-ov sustav za otkrivanje temeljen na umjetnoj inteligenciji, koji analizira web-stranice pomoću preko 250 parametara na razini preglednika, identificirao je i blokirao zlonamjernu stranicu prije nego što je nastala bilo kakva šteta.

Čin IV: Bitka se nastavlja

Novi napadi usmjereni na Mac zahtijevaju relativno minimalne izmjene hakera na njihovoj postojećoj infrastrukturi – prvenstveno izmjene teksta i neke promjene koda za ciljanje korisnika MacOS-a i Safarija.

Ova napadačka kampanja naglašava dvije kritične točke:

  1. Korisnici Maca i Safarija sada su glavne mete – Iako su phishing kampanje usmjerene na korisnike Maca postojale i prije, rijetko su dosegle ovu razinu sofisticiranosti.
  2. Cyberkriminalci su vrlo prilagodljivi – Kako se sigurnosne mjere razvijaju, napadači nastavljaju modificirati svoje taktike, dokazujući da organizacije trebaju napredna, proaktivna sigurnosna rješenja.

Na temelju dugotrajnosti, složenosti i sofisticiranosti koju su do sada pokazali akteri koji stoje iza ove kampanje napada, sumnjamo da je ovo samo njihov prvi odgovor, dok prilagođavaju svoje napade novim obranama.

Naše predviđanje je da ćemo u nadolazećim tjednima ili mjesecima vidjeti ponovni val napada koji se temelje na ovoj infrastrukturi dok istražuje i testira slabe točke u Microsoftovoj novoj obrani.

Ovo je samo najnoviji podsjetnik da je sprječavanje krađe identiteta i web napada stalna bitka bez kraja.

Do sljedećeg poglavlja…