Лаборатории LayerX выявили новую фишинговую кампанию нулевого дня, которая выдает себя за уведомления безопасности Microsoft, чтобы заставить жертв поделиться своими учетными данными для входа и платежными реквизитами. 

Атака имитирует предупреждение системы безопасности Microsoft Windows Defender, призывая пользователей позвонить на номер горячей линии, ввести свои учетные данные и произвести оплату в колл-центр, чтобы «защитить» свой компьютер. 

Эта атака смогла преодолеть традиционные механизмы сетевой безопасности, такие как решения Secure Web Gateways (SWG) и Security Service Edge (SSE), поскольку она использует ряд методов обхода, специально разработанных для обхода традиционных инструментов безопасности.

В этом блоге мы поделимся подробностями этого инцидента, объясним, в чем его уникальность, объясним, почему он не поддавался традиционным механизмам безопасности, и как вы можете защитить себя (и свою организацию) от подобных попыток.

 

Инцидент: мошенничество с оповещениями Microsoft

Эта атака была обнаружена в среде одного из крупных корпоративных клиентов LayerX, где она обошла несколько уровней контроля сетевой безопасности, но была автоматически заблокирована LayerX до того, как смогла нанести вред.

Атака использует простую, но эффективную стратегию — веб-страницу, напоминающую предупреждение Защитника Microsoft Windows, в котором утверждается, что компьютер заражен вредоносным ПО.

В сообщении утверждается, что устройство пользователя заражено вредоносным ПО, и предлагается позвонить в службу поддержки для получения немедленной помощи.

Пользователям, пытавшимся покинуть страницу, показывалось сообщение о том, что их устройство заблокировано, и для входа в систему требовалось ввести свои учетные данные. 

В некоторых протестированных нами случаях код страницы мог вызвать зависание веб-браузера, имитируя блокировку безопасности Microsoft и снова побуждая пользователя позвонить по поддельному номеру службы безопасности.

Этот тип социальной инженерии использует срочность и беспокойство ничего не подозревающих пользователей. Симулируя чрезвычайную ситуацию безопасности, злоумышленники побуждают пользователей действовать немедленно, чтобы не тратить время на слишком пристальное изучение оповещения.

Несколько уровней риска

Злоумышленники обычно используют тактику фишинга, чтобы обманом заставить пользователей поделиться информацией или предоставить доступ к системам. Без расширенного обнаружения пользователи могли бы подвергнуться атаке, что подвергало бы их риску:

  • Позвонив по указанному номеру горячей линии, злоумышленники могли обманом заставить их заплатить выкуп или предоставить удаленный доступ к своим системам.
  • Ввод своих учетных данных на фишинговом сайте, которые злоумышленники могли украсть и использовать для захвата аккаунтов.
  • Их пользовательская информация используется для более сложных атак или продается в даркнете.

Почему традиционная защита не удалась

Многие организации используют решение Secure Web Gateway (SWG) для борьбы с угрозами просмотра и фишинговыми атаками. Тем не менее, эта атака была обнаружена у клиента LayerX, где она обошла SWG организации. Это связано с тем, что защита сетевого уровня, такая как SWG и шлюзы электронной почты, обычно опирается на два основных метода: 

  • Списки блокировки известных вредоносных URL-адресов
  • Сигнатуры известных фишинговых страниц

Эта атака смогла обойти оба варианта по следующим причинам:

1. Законный хостинг домена

Злоумышленники разместили свою фишинговую страницу на законном домене хостинга Microsoft: windows[.]net. 

Windows[.]net — это платформа Microsoft для разработчиков, размещающих веб-приложения .net и Azure. Это означает, что фишинговая страница находилась в собственной инфраструктуре Microsoft. В результате страница имела высокую репутацию домена верхнего уровня (TLD).

Это позволило стороннему наблюдателю считать страницу подлинной страницей Microsoft и обойти традиционную защиту на основе URL. 

Даже если решение по защите на основе URL-адресов выявляет вредоносную активность, оно, как правило, не блокирует ULR, поскольку блокировка всех поддоменов в `windows.net` нарушит работу множества легитимных служб, размещенных Microsoft, что приведет к проблемам в работе организаций. 

2. Рандомизированные поддомены нулевого часа

Нападавшие использовали рандомизированные поддомены чтобы избежать обнаружения. Лаборатории LayerX захватили `pushalm83e.z13.web.core.windows[.]net`. Однако эти доменные строки можно легко сгенерировать и часто менять. 

Это позволяет злоумышленникам гарантировать, что страница не будет соответствовать существующим данным разведки угроз или черным спискам URL. Эта тактика, часто называемая техникой «нулевого часа», позволяет фишинговым сайтам оставаться в сети достаточно долго, чтобы заманить жертв в ловушку, прежде чем они будут отключены и перемещены на другой случайный поддомен.

3. Низкая схожесть фишинговых наборов

Дизайн фишинговой страницы был новым и не соответствовал существующим шаблонам, хэшам и сигнатурам, которые обычно встречаются в фишинговых наборах. Это позволило странице избежать обнаружения решениями, основанными на анализе схожести фишинговых страниц.

Средства контроля, основанные только на фишинговых шаблонах и списках, без проверки самого содержимого веб-страницы, будут обойдены с помощью сложных и креативных атак.

Тем не менее, несмотря на эти характеристики, LayerX смог вовремя обнаружить и заблокировать эту атаку.

Почему LayerX обнаруживается, когда устаревшие средства защиты не срабатывают

В отличие от традиционных инструментов сетевой безопасности, которые в первую очередь полагаются на списки известных вредоносных URL-адресов, LayerX защищает от фишинга и социальной инженерии, используя фильтрацию URL-адресов с анализом поведения страниц в реальном времени. 

Анализ веб-контента в режиме реального времени от LayerX не полагается исключительно на репутацию домена или статические сигнатуры. Вместо этого он использует нейронную сеть на базе искусственного интеллекта для обнаружения факторов риска в режиме реального времени, даже для ранее не наблюдавшихся атак. В результате, когда фишинговая страница пыталась предложить пользователям ввести учетные данные или позвонить по номеру службы поддержки, решение LayerX немедленно идентифицировало эту попытку, пометило ее как подозрительную и автоматически заблокировало страницу, предотвратив потенциальный ущерб.

LayerX — это первое решение, которое решает задачу защиты наиболее целевой и уязвимой поверхности атак на сегодняшний день — браузера, не влияя на удобство работы пользователя. 

LayerX обеспечивает комплексную защиту от всех веб-угроз с помощью постоянного мониторинга, анализа рисков и применения мер в режиме реального времени для любого события и активности пользователя в сеансе просмотра. 

Предприятия используют эти возможности для защиты своих устройств, удостоверений, данных и приложений SaaS от веб-угроз и рисков просмотра, от которых не могут защитить конечные точки и сетевые решения. К ним относятся блокировка утечки данных через Интернет, приложения SaaS и инструменты GenAI, предотвращение кражи учетных данных от фишинга, обеспечение безопасного доступа к ресурсам SaaS внутренним или внешним сотрудникам для снижения риска захвата учетных записей, обнаружение и отключение вредоносных расширений браузера, Shadow SaaS и многое другое.

Расширение браузера LayerX Enterprise изначально интегрируется с любым браузером, превращая его в максимально безопасное и управляемое рабочее пространство. Подробнее.