Ang isang bagong kampanya sa pag-atake ng phishing, na nagta-target sa mga user ng Mac at natukoy ng LayerX Labs, ay nagpapakita ng mga pagsubok at kapighatian ng paglaban sa online na phishing, at kung paano nagbabago at nagbabago ang mga pag-atake bilang tugon sa mga adaptasyon ng mga tool sa seguridad.

Sa nakalipas na ilang buwan, sinusubaybayan ng LayerX ang isang sopistikadong kampanya sa phishing na unang naka-target sa mga user ng Windows sa pamamagitan ng pagbabalatkayo bilang mga alerto sa seguridad ng Microsoft. Ang layunin ng kampanya ay magnakaw ng mga kredensyal ng user sa pamamagitan ng paggamit ng mga mapanlinlang na taktika na nagpapaniwala sa mga biktima na ang kanilang mga computer ay nakompromiso.

Ngayon, sa mga bagong feature ng seguridad na inilunsad ng Microsoft, Chrome, at Firefox, inilipat ng mga umaatake ang kanilang pagtuon sa mga user ng Mac.

Act I: Pag-target sa Mga User ng Windows

Ang orihinal na pag-atake ng phishing ay nagsasangkot ng mga nakompromisong website na nagpapakita ng mga pekeng babala sa seguridad na nagsasabing ang computer ng user ay 'nakompromiso' at 'naka-lock.' Ang mga umaatake ay nag-udyok sa mga user na ipasok ang kanilang Windows username at password. Kasabay nito, ang malisyosong code ay naging sanhi ng pag-freeze ng webpage, na lumilikha ng ilusyon na ang buong computer ay naka-lock. Ang orihinal na pag-atake sa phishing ay nagsasangkot ng mga nakompromisong website na nagpapakita ng mga pekeng babala sa seguridad na nagsasabing ang computer ng user ay 'nakompromiso' at 'naka-lock.' Ang mga umaatake ay nag-udyok sa mga user na ipasok ang kanilang Windows username at password. Kasabay nito, ang malisyosong code ay naging sanhi ng pag-freeze ng webpage, na lumilikha ng ilusyon na ang buong computer ay naka-lock.

 

Mayroon ang LayerX naunang isinulat tungkol sa kampanyang ito sa aming blog.

Bakit Mahirap Ihinto ang Kampanya na Ito:

  1. Naka-host sa isang Microsoft Platform – Ang mga pahina ng phishing ay naka-host sa Windows.net platform ng Microsoft (isang bukas na platform ng Microsoft para sa pagho-host ng mga Azure application). Sa konteksto ng pag-atake, ginawa nitong mukhang lehitimo ang mga mensahe, dahil ang mga ito ay mga babala sa seguridad (parang) ng Microsoft, na nagmumula sa isang pahina sa isang windows[.]net domain.
  2. Pinagsasamantalahan ang Mga Serbisyo sa Pagho-host – Ang isa pang karaniwang taktika na ginamit ng mga umaatake sa kasong ito ay ang paggamit ng pinagkakatiwalaang serbisyo sa pagho-host bilang pinagbabatayan na imprastraktura para sa mga nakakahamak na pahina. Ang dahilan nito ay ang mga tradisyunal na panlaban sa phishing tulad ng Secure Web Gateways (SWGs) at mga solusyon sa seguridad ng email ay kadalasang tinatasa ang panganib sa pahina batay sa reputasyon ng domain ng Top Level Domain (TLD). Sa kasong ito, ang TLD (windows[.]net) ay isang kilalang-kilala at lubos na ginagamit na platform ng isang reputable provider (Microsoft), na may mataas na marka ng reputasyon ng TLD. Bilang resulta, nagawa ng mga page na ito na iwasan ang mga tradisyonal na mekanismo ng proteksyon.
  3. Randomized, Mabilis na Pagbabago ng mga Sub-Domain – sa ilalim ng pangkalahatang top-level na domain ng windows[.]net, inihatid ng mga attacker ang kanilang malisyosong code mula sa mga randomized, mabilis na nagbabagong mga subdomain. Nangangahulugan ito na kahit na na-flag ang isang partikular na page dahil sa pagiging malisyoso at inilagay sa mga feed ng mga nakakahamak na pahina, mabilis itong tinanggal at pinalitan ng isa pang URL na may 'malinis' na reputasyon. Dahil sa napakaraming mga URL ng subdomain, maaaring gawin ito ng mga umaatake nang paulit-ulit, habang pinapanatili pa rin ang pag-atake.
  4. Napakahusay na Disenyo – Hindi tulad ng karaniwang mga pahina ng phishing, ang mga ito ay mahusay na idinisenyo, propesyonal, at madalas na na-update upang maiwasan ang pagtuklas ng mga tool sa seguridad na umaasa sa mga kilalang lagda sa phishing.
  5. Mga teknolohiyang anti-bot at CAPTCHA – sa ilang mga variation, naobserbahan ng LayerX na kasama sa page code ang anti-bot at CAPTCHA verification. Ginawa ito upang mag-blog ng mga awtomatikong web crawler ng mga proteksyon laban sa phishing at maantala ang pag-uuri ng pahina bilang nakakahamak.

Ang resulta ay isang sopistikado, lubos na epektibo, at matagal na kampanya. Ang LayerX ay sinusubaybayan ang kampanyang ito nang higit sa isang taon. Gayunpaman, noong huling bahagi ng 2024 at unang bahagi ng 2025, napansin namin ang pagtaas ng intensity at dami ng campaign na ito, na isang patunay ng pagiging epektibo nito.

Napansin din ito ng Microsoft, na noong Pebrero 2025 ay nagpakilala ng bagong feature na 'anti-scareware' sa Edge browser upang labanan ang mga pag-atakeng ito. Sa parehong oras, ang mga katulad na proteksyon ay ipinatupad sa Chrome at Firefox.

Act II: Ang mga Bagong Proteksyon ay Nagiging Inutil ang Lumang Kampanya

Kasunod ng pagpapakilala ng mga proteksyon sa browser na ito, naobserbahan ng LayerX ang isang matinding pagbaba ng 90% sa mga pag-atake na naka-target sa Windows.

Ang LayerX ay nagmamasid pa rin ng ilang katulad na nakakahamak na pahina, ibig sabihin ay online pa rin ang imprastraktura ng kampanya. Gayunpaman, hindi ito naabot ng mga user.
Iniuugnay namin ang pagbabang ito sa mga bagong tampok na 'anti-scareware' ng Microsoft (at iba pa), na humaharang sa mga pag-atakeng ito.

Act III: Ang Campaign Morphs sa Target na Mga User ng Mac

Gayunpaman, tila hindi lamang ang LayerX ang nakakita ng pagbaba sa rate ng tagumpay ng mga pag-atake - napansin din ito ng mga hacker sa likod nito.

Ang kanilang tugon: baguhin ang campagin upang i-target ang isang pangkat ng mga hindi protektadong user – sa kasong ito: mga user ng Mac.

Sa loob ng 2 linggo ng paglunsad ng Microsoft ng mga bagong anti-phishing na panlaban, sinimulan ng LayerX na obserbahan ang mga pag-atake laban sa mga gumagamit ng Mac, na - tila - ay hindi sakop ng mga bagong depensang ito.

 

Bago ito, hindi naobserbahan ng LayerX ang mga pag-atake sa Mac, ngunit laban lamang sa mga gumagamit ng Windows.

Ang mga bagong pagtatangka sa phishing ay halos magkapareho sa mga pag-atake na nagta-target sa mga gumagamit ng Windows, maliban sa ilang kritikal na pagbabago:

  • Ang layout ng pahina ng phishing at muling idinisenyo ang pagmemensahe upang magmukhang lehitimo sa mga gumagamit ng Mac.
  • Mga pagsasaayos ng code upang partikular na i-target ang mga user ng macOS at Safari sa pamamagitan ng paggamit ng HTTP OS at mga parameter ng user agent.
  • Patuloy na paggamit ng Windows[.]net infrastructure, pinapanatili ang ilusyon ng pagiging lehitimo.

Paano Naakit ang mga Biktima

Ang pagsisiyasat ng LayerX ay nagsiwalat na ang mga biktima ay na-redirect sa mga pahina ng phishing sa pamamagitan ng nakompromisong mga pahina ng 'paradahan' ng domain:

  1. Tinangka ng biktima na i-access ang isang lehitimong website.
  2. Ang isang typo sa URL ay humantong sa kanila sa isang nakompromisong pahina ng paradahan ng domain.
  3. Mabilis na na-redirect ng page ang mga ito sa maraming site bago mapunta sa page ng pag-atake ng phishing.

Sa isang partikular na kaso, ang biktima ay isang macOS at Safari user na nagtatrabaho para sa isang customer ng LayerX enterprise. Sa kabila ng organisasyong gumagamit ng Secure Web Gateway (SWG), nalampasan ito ng pag-atake. Gayunpaman, ang AI-based na sistema ng pagtuklas ng LayerX, na sinusuri ang mga web page gamit ang higit sa 250 mga parameter sa antas ng browser, ay natukoy at na-block ang nakakahamak na pahina bago magkaroon ng anumang pinsala.

Act IV: Nagpapatuloy ang Labanan

Ang mga bagong pag-atake na naka-target sa Mac ay nangangailangan ng medyo kaunting mga pagbabago ng mga hacker ng kanilang umiiral na imprastraktura - pangunahin ang mga pagbabago sa teksto at ilang mga pagbabago sa code upang i-target ang mga gumagamit ng MacOS at Safari.

Binibigyang-diin ng kampanyang ito ng pag-atake ang dalawang kritikal na punto:

  1. Ang mga gumagamit ng Mac at Safari ay pangunahing target na ngayon – Bagama't umiral na ang mga kampanyang phishing na nagta-target sa mga user ng Mac, bihira silang umabot sa antas na ito ng pagiging sopistikado.
  2. Ang mga cybercriminal ay lubos na madaling ibagay – Habang umuunlad ang mga hakbang sa seguridad, patuloy na binabago ng mga umaatake ang kanilang mga taktika, na nagpapatunay na kailangan ng mga organisasyon ang mga advanced, proactive na solusyon sa seguridad.

Batay sa kahabaan ng buhay, pagiging kumplikado, at pagiging sopistikado na ipinakita ng mga aktor sa likod ng kampanyang ito sa pag-atake sa ngayon, pinaghihinalaan namin na ito ay isang unang tugon lamang nila, habang iniangkop nila ang kanilang mga pag-atake sa mga bagong depensa.

Ang aming hula ay na sa mga darating na linggo o buwan, makakakita kami ng muling pag-atake batay sa imprastraktura na ito habang sinusuri at sinusuri nito ang mga mahinang lugar sa mga bagong depensa ng Microsoft.

Ito lang ang pinakabagong paalala na ang pagpigil sa phishing at pag-atake sa web ay isang tuluy-tuloy, walang katapusang labanan.

Hanggang sa susunod na kabanata…