V zadnjih nekaj letih so tako napadalci kot branilci povečali svoje zmogljivosti v neskončni igri mačke in miši. Napadalci so razširili svoje operacije lažnega predstavljanja za krajo poverilnic in identitet. Defenders so sprejeli varnostni pristop ničelnega zaupanja, pri katerem uporabniki pogosto uporabljajo svoje mobilne naprave za preverjanje pristnosti v svojih namiznih aplikacijah. Lov se nadaljuje.

V nedavni, zelo zanimivi kampanji, napadalci so izkoristili ta nedavni napredek zaščitnika in izkoristili napadalno površino namizja za distribucijo zlonamerne mobilne (iPhone) aplikacije.

Zlonamernih aplikacij za iPhone se ni enostavno vtihotapiti v trgovino z aplikacijami. Ko so uspešni, jih je mogoče uporabiti na različne načine za izvedbo kraje identitete. Ali zaupate mobilni napravi svojih zaposlenih, da jih bo avtentikirala v vaših aplikacijah, povezanih s SSO? Prepričajte se, da so zaščiteni.

TL;DR – Napadni koraki

  1. distribucija – Zlonamerno oglaševanje na priljubljeni spletni strani za brezplačno pretakanje.
  2. Lažna video prevara – Prosimo uporabnike, da skenirajo kodo QR s svojo mobilno napravo.
  3. Skok med napravami – Koda QR odpre oblikovano ciljno stran socialnega inženiringa na mobilni napravi zaposlenega.
  4. Obremenitev – Napad uporabnika preusmeri na prenos zlonamerne mobilne aplikacije iz trgovine z aplikacijami.

distribucija

Po raziskavah LayerX se napad začne z vidno oglaševalsko kampanjo URL-ja lažnega videa. V tem napadu je bilo zlorabno oglaševanje distribuirano prek priljubljenega spletnega mesta za pretakanje, hxxps://fmovies.to (na 715. mestu po vsem svetu!). Treba je poudariti, da je bila enaka infrastruktura zlonamernega oglaševanja uporabljena na drugih spletnih mestih, od katerih mnoga ponujajo brezplačno pretakanje filmov, športnih tekem in televizijskih oddaj.

To je pravi čas, da se spomnimo osnovne resnice o spletu: če je brezplačen, ste izdelek vi!

Lažni video

Tovor zlorabnega oglaševanja je URL lažnega videoposnetka, ki ga je uporabnik želel gledati.

Lažna videoposnetek oglaševalske kampanje

Dve sekundi po začetku videoposnetka je zaslon prekrit s kodo QR in navodili za skeniranje z mobilno napravo. To stran (kot tudi več drugih primerkov) je ujel mehanizem za preprečevanje groženj LayerX v realnem času, ki skenira sumljive spletne strani znotraj brskalnika.

Omeniti velja, da ista infrastruktura vsakič razdeli različne ciljne strani. Zato ocenjujemo, da gre za neodvisno podjetje, ki monetizira dostavo ciljnih strani. Verjamemo tudi, da njen lastnik ni isti kot v naslednjem koraku napada.

Tu je še en primer drugačnega poziva, ki ga je sprožil lažni video:

hxxps://watch-online.7vuoh5i80tys.top/share/5/

Ni treba posebej poudarjati, da skeniranje kode QR ne omogoči dostopa do filma, ampak vodi do naslednjega koraka napada, ki se izvede na mobilni napravi. Vendar ne zavrzite pokovke, kot ta napad socialnega inženiringa bo kmalu pokazal odlično igro in posebne učinke ...

Socialni inženiring mobilnih naprav

Ekipa za raziskovanje groženj LayerX je raziskala ta napad in do njega dostopala z mobilne naprave iPhone. Koda QR odpre zlonamerno ciljno stran z lažnim varnostnim pozivom.

Lažni varnostni poziv za iPhone

Poziv prikazuje strašljiva opozorila o virusih, najdenih v napravi, ki bodo kmalu poškodovali kartico SIM naprave! 

URL kaže, da ciljna stran izkorišča metapodatke naprave, do katerih ima dostop, in ustvarja ciljno stran po meri. Vsebina ni nič posebnega, razen tega, da se uporablja za socialni inženiring; vsi atributi naprave so dostopni mobilnim ciljnim stranem.

To preskakovanje med napravami je odlična tehnika, ki jo napadalci uporabljajo za pretentanje standardnih varnostnih sistemov. Ko uporabnik skenira zlonamerno kodo QR, lahko organizacija izgubi vidnost prizadete mobilne naprave.  

Ker smo LayerXerji pričakovali, da bomo videli film, nismo imeli druge izbire, kot da kliknemo gumb »popravi zdaj« in vidimo, kaj se bo zgodilo naslednje.

Obremenitev

Aplikacija TGuard

Povezava nas je pripeljala do te strani mobilne aplikacije, ki prikazuje TGuard, ki je bil medtem odstranjen iz trgovine z aplikacijami. Aplikacija trdi, da zagotavlja produktivne funkcije (kot je sledenje času) in je morda ciljala na poslovne uporabnike in običajne uporabnike. 

Čeprav je bila mobilna aplikacija odstranjena, je spletna stran operaterja še vedno v zraku:

Povzetek

Ta ustvarjalna kampanja je izjemen primer, kako se napadalci z lahkoto infiltrirajo v obseg podjetja z izkoriščanjem človeškega elementa. To je ista človeška šibkost, zaradi katere gledamo na brezplačna spletna mesta za pretakanje kot na pravičen, človekoljuben podvig, skeniramo dvomljiv QR in nato namestimo mobilno aplikacijo iz neznanega vira.

Funkcionalna novost tega napada je skakanje med napravami. Mislim, da je danes le peščica podjetij sposobna zaznati tak napad, ki cilja na neupravljane mobilne naprave zaposlenih.

MOK: