Tinukoy ng LayerX Labs ang isang bagong zero-day phishing campaign na nagpapanggap bilang mga notification sa seguridad ng Microsoft upang akitin ang mga biktima na ibahagi ang kanilang mga kredensyal sa pag-log in at mga detalye ng pagbabayad. 

Ang pag-atake ay ginagaya ang isang alerto sa seguridad ng Microsoft Windows Defender, na humihimok sa mga user na tumawag sa isang hotline number, ilagay ang kanilang mga kredensyal, at magbigay ng bayad sa call center upang 'i-secure' ang kanilang computer. 

Nakapasok ang pag-atakeng ito sa mga tradisyunal na mekanismo ng seguridad sa network tulad ng mga solusyon sa Secure Web Gateways (SWGs) at Security Service Edge (SSE) dahil gumagamit ito ng ilang mga diskarte sa pag-iwas na idinisenyo lalo na para iwasan ang mga tradisyunal na tool sa seguridad.

Sa blog na ito, ibabahagi namin ang mga detalye ng insidenteng ito, ipaliwanag kung bakit ito kakaiba, ipaliwanag kung bakit ito nakalusot sa mga tradisyonal na mekanismo ng seguridad, at kung paano mo mapoprotektahan ang iyong sarili (at ang iyong organisasyon) laban sa mga katulad na pagsubok.

 

Ang Insidente: Isang Microsoft Alert Scam

Natukoy ang pag-atake na ito sa kapaligiran ng isa sa malalaking customer ng enterprise ng LayerX, kung saan nalampasan nito ang ilang layer ng mga kontrol sa seguridad ng network, ngunit awtomatikong na-block ng LayerX bago ito makapagdulot ng pinsala.

Gumagamit ang pag-atake ng simple ngunit epektibong diskarte—isang webpage na kahawig ng alerto ng Microsoft Windows Defender na nagsasabing nahawaan ng malware ang kanilang computer.

Sinasabi ng mensahe na ang device ng user ay nahawaan ng malware, na humihimok sa kanila na tumawag sa isang numero ng suporta para sa agarang tulong.

Ang mga user na nagtangkang umalis sa page ay pinakitaan ng mensaheng nagsasabing naka-lock ang kanilang device, na nangangailangan sa kanila na ilagay ang kanilang mga kredensyal upang mag-log in. 

Sa ilang mga kaso na sinubukan namin, nagawa ng page code na mag-freeze ang web browser, gayahin ang isang security block ng Microsoft at muli silang na-prompt na tawagan ang pekeng security helpline number.

Ang ganitong uri ng social engineering ay binibiktima ang pagkaapurahan at pagkabalisa ng mga hindi mapag-aalinlanganang gumagamit. Sa pamamagitan ng pagtulad sa isang emergency sa seguridad, hinihikayat ng mga umaatake ang mga user na kumilos kaagad upang hindi sila maglaan ng oras upang suriing mabuti ang alerto.

Maramihang Layer ng Panganib

Ang mga umaatake ay karaniwang gumagamit ng mga taktika sa phishing upang linlangin ang mga user sa pagbabahagi ng impormasyon o pagbibigay ng access sa mga system. Kung walang advanced na pagtuklas sa lugar, ang mga user ay maaaring nalantad sa pag-atake, na naglalagay sa kanila sa panganib ng:

  • Pagtawag sa ibinigay na numero ng hotline, kung saan maaaring manipulahin sila ng mga umaatake upang magbayad ng ransom o magbigay ng malayuang pag-access sa kanilang mga system.
  • Paglalagay ng kanilang mga kredensyal sa phishing site, na maaaring nakawin at magagamit ng mga umaatake para sa pagkuha ng account.
  • Ang kanilang impormasyon ng user ay ginagamit para sa mas sopistikadong pag-atake o ibinebenta sa dark web.

Bakit Nabigo ang Conventional Defenses

Maraming organisasyon ang naglalagay ng solusyon sa Secure Web Gateway (SWG) upang harapin ang mga banta sa pagba-browse at pag-atake ng phishing. Gayunpaman, ang pag-atake na ito ay nakita sa isang customer ng LayerX, kung saan nalampasan ng pag-atake na ito ang SWG ng organisasyon. Ito ay dahil ang mga depensa ng layer ng network tulad ng SWG at email gateway ay karaniwang umaasa sa dalawang pangunahing pamamaraan: 

  • I-block ang mga listahan ng mga kilalang nakakahamak na URL
  • Mga lagda ng mga kilalang pahina ng phishing

Ang pag-atakeng ito ay nagawang i-bypass ang pareho para sa mga sumusunod na dahilan:

1. Lehitimong Hosting Domain

Ang mga attacker ay nagho-host ng kanilang phishing page sa isang lehitimong Microsoft hosting domain: windows[.]net. 

Ang Windows[.]net ay isang platform ng Microsoft para sa mga developer na mag-host ng .net at Azure web application. Nangangahulugan ito na ang pahina ng phishing ay naninirahan sa sariling imprastraktura ng Microsoft. Bilang resulta, tinangkilik ng page ang mataas na reputasyon sa Top-Level-Domain (TLD).

Ipinakita nito sa isang tagamasid sa labas bilang isang lehitimong pahina ng Microsoft, at pinagana itong i-bypass ang mga tradisyonal na depensang nakabatay sa URL. 

Kahit na natukoy ng isang solusyon sa pagtatanggol na nakabatay sa URL ang nakakahamak na aktibidad, kadalasan ay hindi nito haharangin ang ULR, dahil ang pag-block sa lahat ng subdomain sa ilalim ng `windows.net` ay makakaabala sa hindi mabilang na mga lehitimong serbisyo na hino-host ng Microsoft, na magdudulot ng mga isyu sa pagpapatakbo para sa mga organisasyon. 

2. Zero-Hour Randomized Subdomain

Ginamit ng mga umaatake randomized na mga subdomain para maiwasan ang detection. Nakuha ng LayerX labs ang `pushalm83e.z13.web.core.windows[.]net`. Gayunpaman, ang mga string ng domain na ito ay madaling mabuo at madalas na paikutin. 

Nagbibigay-daan ito sa mga umaatake na matiyak na hindi tutugma ang page sa anumang umiiral nang threat intelligence o mga blacklist ng URL sa lugar. Ang taktika na ito, na kadalasang tinutukoy bilang isang "zero-hour" na diskarte, ay nagbibigay-daan sa mga phishing site na manatiling online nang sapat lamang upang mahuli ang mga biktima bago sila alisin at i-rotate sa isa pang randomized na subdomain.

3. Mababang Phishing Kit Pagkakatulad

Ang disenyo ng pahina ng phishing ay nobela at hindi tumugma sa mga kasalukuyang template, hash at mga lagda na karaniwang makikita sa mga phishing kit. Pinahintulutan nito ang pahina na maiwasan ang pagtuklas ng mga solusyon na umaasa sa pagsusuri ng pagkakatulad ng pahina ng phishing.

Ang mga kontrol na umaasa lamang sa mga template at listahan ng phishing, nang hindi sinisiyasat ang mismong mga nilalaman ng web page, ay malalampasan ng mga advanced at malikhaing pag-atake.

Gayunpaman, sa kabila ng mga katangiang ito, natukoy at na-block ng LayerX ang pag-atake na ito sa tamang oras.

Bakit Natukoy ang LayerX Kapag Nabigo ang Mga Legacy na Depensa

Hindi tulad ng mga tradisyunal na tool sa seguridad ng network, na pangunahing umaasa sa mga listahan ng kilalang masasamang URL, pinoprotektahan ng LayerX laban sa phishing at social engineering sa pamamagitan ng paggamit ng pag-filter ng URL gamit ang real-time na pagsusuri ng gawi ng page. 

Ang real-time na pagsusuri ng LayerX sa nilalaman ng web ay hindi umaasa lamang sa reputasyon ng domain o mga static na lagda. Sa halip, gumagamit ito ng neural network na pinapagana ng AI upang makita ang mga kadahilanan ng panganib sa real-time, kahit na para sa mga hindi nakikitang pag-atake. Bilang resulta, nang sinubukan ng pahina ng phishing na i-prompt ang mga user na magpasok ng mga kredensyal o tumawag sa isang numero ng suporta, agad na natukoy ng solusyon ng LayerX ang pagtatangkang ito, na-flag ito bilang kahina-hinala at awtomatikong hinarangan ang pahina, na pinipigilan ang potensyal na pinsala.

Ang LayerX ay ang unang solusyon na humaharap sa hamon ng pag-secure ng pinaka-target at nakalantad na pag-atake ngayon – ang browser, nang hindi naaapektuhan ang karanasan ng user. 

Naghahatid ang LayerX ng komprehensibong proteksyon para sa lahat ng banta na dala ng web na may patuloy na pagsubaybay, pagsusuri sa panganib, at real-time na pagpapatupad sa anumang kaganapan at aktibidad ng user sa session ng pagba-browse. 

Ginagamit ng mga negosyo ang mga kakayahang ito para ma-secure ang kanilang mga device, pagkakakilanlan, data, at SaaS app mula sa mga banta na dala ng web at mga panganib sa pagba-browse na hindi mapoprotektahan ng mga solusyon sa endpoint at network. Kabilang dito ang pagharang sa pagtagas ng data sa web, mga SaaS app at mga tool ng GenAI, pag-iwas sa pagnanakaw ng kredensyal mula sa phishing, pagpapatupad ng ligtas na pag-access sa mga mapagkukunan ng SaaS ng internal o external na workforce upang mabawasan ang panganib ng pagkuha ng account, pagtuklas at pag-disable ng mga nakakahamak na extension ng browser , Shadow SaaS, at higit pa.

Ang LayerX Enterprise Browser Extension ay native na sumasama sa anumang browser, na ginagawa itong pinaka-secure at napapamahalaang workspace. Dagdagan ang nalalaman.