Laboratoria LayerX zidentyfikowały nową kampanię phishingową typu zero-day, która podszywa się pod powiadomienia bezpieczeństwa firmy Microsoft, aby nakłonić ofiary do udostępnienia swoich danych logowania i szczegółów płatności.
Atak przypomina alert bezpieczeństwa programu Microsoft Windows Defender, nakłaniając użytkowników do zadzwonienia pod numer infolinii, podania swoich danych logowania i uiszczenia opłaty w celu „zabezpieczenia” komputera.
Atak ten był w stanie przeniknąć do tradycyjnych mechanizmów bezpieczeństwa sieci, takich jak Secure Web Gateways (SWG) i rozwiązania Security Service Edge (SSE), ponieważ wykorzystuje szereg technik unikania zaprojektowanych specjalnie w celu obejścia tradycyjnych narzędzi bezpieczeństwa
W tym blogu podzielimy się szczegółami tego incydentu, wyjaśnimy, co go wyróżnia, wyjaśnimy, dlaczego nie ominął tradycyjnych mechanizmów bezpieczeństwa, a także w jaki sposób możesz chronić siebie (i swoją organizację) przed podobnymi próbami.
Incydent: oszustwo Microsoft Alert
Atak ten został zidentyfikowany w środowisku jednego z dużych klientów korporacyjnych firmy LayerX, gdzie ominął kilka warstw kontroli bezpieczeństwa sieci, ale został automatycznie zablokowany przez firmę LayerX, zanim zdążył wyrządzić szkodę.
Atak ten opiera się na prostej, ale skutecznej strategii — stronie internetowej przypominającej alert programu Microsoft Windows Defender informującej, że komputer użytkownika został zainfekowany złośliwym oprogramowaniem.
W wiadomości twierdzono, że urządzenie użytkownika zostało zainfekowane złośliwym oprogramowaniem, i poproszono go o natychmiastowy kontakt z działem pomocy technicznej.
Użytkownikom, którzy próbowali opuścić stronę, wyświetlał się komunikat informujący, że ich urządzenie zostało zablokowane, co wymagało od nich podania danych logowania.
W niektórych testowanych przez nas przypadkach kod strony mógł spowodować zawieszenie się przeglądarki internetowej, co przypominało blokadę bezpieczeństwa firmy Microsoft i ponownie nakazywało zadzwonienie pod fałszywy numer infolinii bezpieczeństwa.
Ten typ inżynierii społecznej wykorzystuje pilność i niepokój niczego niepodejrzewających użytkowników. Symulując sytuację awaryjną, atakujący nakłaniają użytkowników do natychmiastowego działania, aby nie poświęcali czasu na zbyt dokładne zbadanie alertu.
Wiele poziomów ryzyka
Atakujący często stosują taktykę phishingu, aby nakłonić użytkowników do udostępnienia informacji lub zapewnienia dostępu do systemów. Bez zaawansowanego wykrywania użytkownicy mogli zostać narażeni na atak, narażając się na ryzyko:
- Dzwoniąc na podany numer infolinii, atakujący mogą skłonić użytkownika do zapłacenia okupu lub udzielenia zdalnego dostępu do swoich systemów.
- Podanie swoich danych uwierzytelniających na stronie phishingowej, które atakujący mogą ukraść i wykorzystać do przejęcia kont.
- Informacje o użytkownikach mogą być wykorzystywane do bardziej wyrafinowanych ataków lub sprzedawane w darknecie.
Dlaczego konwencjonalne metody obrony zawiodły
Wiele organizacji wdraża rozwiązanie Secure Web Gateway (SWG), aby poradzić sobie z zagrożeniami przeglądania i atakami phishingowymi. Niemniej jednak ten atak został wykryty u klienta LayerX, gdzie ominął SWG organizacji. Dzieje się tak, ponieważ obrona warstwy sieciowej, taka jak SWG i bramy poczty e-mail, zazwyczaj opiera się na dwóch podstawowych metodach:
- Zablokuj listy znanych złośliwych adresów URL
- Sygnatury znanych stron phishingowych
Atak ten był w stanie ominąć oba zabezpieczenia z następujących powodów:
1. Legalna domena hostingowa
Napastnicy umieścili swoją stronę phishingową na legalnej domenie hostingowej firmy Microsoft: windows[.]net.
Windows[.]net to platforma firmy Microsoft dla deweloperów do hostowania aplikacji internetowych .net i Azure. Oznacza to, że strona phishingowa znajdowała się na własnej infrastrukturze firmy Microsoft. W rezultacie strona cieszyła się wysoką reputacją domeny najwyższego poziomu (TLD).
Dzięki temu zewnętrzny obserwator mógł uznać ją za legalną stronę Microsoftu i ominąć tradycyjne zabezpieczenia oparte na adresie URL.
Nawet jeśli rozwiązanie obronne bazujące na adresie URL zidentyfikuje złośliwą aktywność, zazwyczaj nie zablokuje adresu ULR, ponieważ zablokowanie wszystkich subdomen w domenie ``windows.net`` zakłóciłoby działanie niezliczonej liczby legalnych usług hostowanych przez firmę Microsoft, powodując problemy operacyjne dla organizacji.
2. Poddomeny losowe zerowej godziny
Napastnicy wykorzystali losowe subdomeny aby uniknąć wykrycia. Laboratoria LayerX przechwyciły `pushalm83e.z13.web.core.windows[.]net`. Jednak te ciągi domen można łatwo wygenerować i często obracać.
Umożliwia to atakującym upewnienie się, że strona nie będzie pasować do żadnej istniejącej inteligencji zagrożeń lub czarnych list adresów URL. Ta taktyka, często określana jako technika „zero-hour”, pozwala witrynom phishingowym pozostać online wystarczająco długo, aby złapać ofiary, zanim zostaną usunięte i przeniesione do innej losowej subdomeny.
3. Niskie podobieństwo do zestawu phishingowego
Projekt strony phishingowej był nowatorski i nie pasował do istniejących szablonów, haszy i podpisów powszechnie spotykanych w zestawach phishingowych. Pozwoliło to stronie uniknąć wykrycia przez rozwiązania polegające na analizie podobieństwa stron phishingowych.
Kontrole opierające się wyłącznie na szablonach i listach phishingowych, bez sprawdzania samej zawartości strony internetowej, zostaną ominięte przez zaawansowane i kreatywne ataki.
Niemniej jednak, pomimo tych cech, LayerX był w stanie wykryć i zablokować ten atak na czas.
Dlaczego LayerX wykrył błąd, gdy starsze zabezpieczenia zawiodły
W przeciwieństwie do tradycyjnych narzędzi zabezpieczających sieć, które opierają się głównie na listach znanych nieprawidłowych adresów URL, LayerX chroni przed phishingiem i socjotechniką, wykorzystując filtrowanie adresów URL z analizą zachowania strony w czasie rzeczywistym.
Analiza zawartości sieci Web w czasie rzeczywistym firmy LayerX nie opiera się wyłącznie na reputacji domeny lub statycznych sygnaturach. Zamiast tego wykorzystuje ona sieć neuronową opartą na sztucznej inteligencji do wykrywania czynników ryzyka w czasie rzeczywistym, nawet w przypadku wcześniej niezauważonych ataków. W rezultacie, gdy strona phishingowa próbowała nakłonić użytkowników do podania danych uwierzytelniających lub zadzwonienia pod numer pomocy technicznej, rozwiązanie firmy LayerX natychmiast zidentyfikowało tę próbę, oznaczyło ją jako podejrzaną i automatycznie zablokowało stronę, zapobiegając potencjalnym szkodom.
LayerX to pierwsze rozwiązanie, które stawia czoła wyzwaniu zabezpieczenia najbardziej ukierunkowanej i narażonej na ataki powierzchni, jaką jest obecnie przeglądarka, bez wpływu na komfort użytkowania.
Rozwiązanie LayerX zapewnia kompleksową ochronę przed wszystkimi zagrożeniami pochodzącymi z sieci dzięki ciągłemu monitorowaniu, analizie ryzyka i egzekwowaniu zasad w czasie rzeczywistym w przypadku każdego zdarzenia i aktywności użytkownika podczas sesji przeglądania.
Przedsiębiorstwa wykorzystują te możliwości, aby zabezpieczyć swoje urządzenia, tożsamości, dane i aplikacje SaaS przed zagrożeniami pochodzącymi z sieci i ryzykami przeglądania, przed którymi nie chronią rozwiązania punktów końcowych i sieci. Obejmują one blokowanie wycieków danych przez sieć, aplikacje SaaS i narzędzia GenAI, zapobieganie kradzieży poświadczeń w wyniku phishingu, egzekwowanie bezpiecznego dostępu do zasobów SaaS przez wewnętrzną lub zewnętrzną siłę roboczą w celu złagodzenia ryzyka przejęcia konta, wykrycia i wyłączenia złośliwych rozszerzeń przeglądarki, Shadow SaaS i wiele innych.
Rozszerzenie przeglądarki LayerX Enterprise Browser Extension integruje się natywnie z dowolną przeglądarką, zamieniając ją w najbezpieczniejszą i najłatwiejszą w zarządzaniu przestrzeń roboczą. Dowiedz się więcej.
