Хакеры используют легальные файловые хостинги для сложных фишинговых атак

Microsoft и другие компании по кибербезопасности отметили резкий рост атак с использованием легальных файловых хостингов, таких как SharePoint, OneDrive и Dropbox, для проведения сложных фишинговых атак. Злоумышленники, злоупотребляя доверенными сервисами, применяют тактику "LOTS" (living-off-trusted-sites), позволяющую маскировать вредоносную активность под легитимный сетевой трафик, что существенно затрудняет их обнаружение.

Обычно атака начинается с взлома учетной записи поставщика или партнера компании. Затем хакеры рассылают фишинговые письма, маскируя вредоносные файлы под безобидные бизнес-документы. Чтобы открыть доступ, пользователи должны пройти двухфакторную аутентификацию (2FA) с использованием одноразового пароля, что вызывает у них ложное ощущение безопасности. Введя данные, жертвы перенаправляются на фишинговую страницу, где их логины и токены 2FA захватываются.

Согласно Microsoft, такие атаки приводят к серьезным последствиям: компрометации учетных данных, утечке данных и финансовым махинациям. К тому же, украденные данные позволяют злоумышленникам перемещаться по сети компании, угрожая безопасностью всей организации.

Дополнительно стало известно, что для обхода 2FA в этих атаках часто используется фишинговый комплект Mamba, который имитирует страницы входа Microsoft 365 и даже отправляет украденные данные в Telegram, упрощая киберпреступникам задачу проведения фишинговых кампаний.

Компании могут снизить риск успешных атак, проводя регулярные тренинги по кибергигиене и фишингу. Обучение помогает сотрудникам:

- Определять подозрительные признаки в письмах и документах, даже если они поступают от, казалось бы, доверенных сервисов.

- Понимать, почему важно внимательно проверять ссылки перед переходом по ним, особенно если они требуют ввода учетных данных.

- Быстро сообщать о подозрительных случаях ИТ-отделу, что позволяет оперативно реагировать на возможные угрозы.

Согласно последнему отчету компании Egress, специализирующейся на облачной безопасности, злоумышленники активно маскируются под крупные технологические компании, такие как Microsoft, Adobe и Meta, для проведения фишинговых атак. Исследование показало, что киберпреступники часто используют логотипы и имена этих брендов, чтобы вызвать доверие у потенциальных жертв.

Наиболее распространенными методами являются фишинговые письма с гиперссылками (45%), вредоносными вложениями (23%), а также использование приёмов социальной инженерии (20%) и QR-кодов (12%).

«Мошенники не ограничиваются тем, чтобы притворяться сотрудниками компаний, — говорится в отчете Egress. — Они также прибегают к подделке личностей знаменитостей, используя эффект авторитета для манипуляции и увеличения вероятности успеха атаки». Среди известных личностей, которых часто подделывают, оказались Джефф Безос, Илон Маск, Уоррен Баффет и Маккензи Скотт.

По данным Egress, компания с 2000 сотрудников может получать около 7382 фишинговых писем в месяц, что в среднем составляет 238 атак ежедневно. В рабочий день это примерно 31,75 фишинговых письма за каждый час работы.

Основные выводы отчета:

- Пик активности фишинговых атак приходится на 12:37 по местному времени.

- Сотрудники выявляют лишь 29% фишинговых писем.

- 44% фишинговых атак проводятся через скомпрометированные учетные записи, что позволяет обходить защитные меры.

- В период с апреля по июнь 2024 года количество фишинговых писем выросло на 28% по сравнению с первым кварталом.

- Более 62% американских компаний подавали иски по поводу киберугроз за последние 12 месяцев, а свыше 27% сталкивались с повторными инцидентами.

Важность обучения сотрудников

Эти данные еще раз подчеркивают важность обучения сотрудников распознаванию фишинговых атак. Ведь злоумышленники не просто имитируют известных людей или бренды — они используют продуманные методы социальной инженерии, чтобы обойти защиту и пробудить доверие. Обученные сотрудники, способные распознать признаки фишинговой атаки, могут стать первой линией обороны для компании.

В условиях, когда фишинговые атаки продолжают расти, инвестиции в регулярное и качественное обучение сотрудников остаются одной из самых надежных мер для повышения уровня кибербезопасности в организации.

Недавно обнаруженный троян PipeMagic снова набирает обороты. Первоначально выявленный в 2022 году, этот троян был нацелен на компании в Азии, однако теперь его присутствие зафиксировано в Саудовской Аравии. Согласно исследованию команды Kaspersky GReAT, киберпреступники используют фейковое приложение ChatGPT, чтобы заманить пользователей и получить доступ к их устройствам. Пользователи скачивают это приложение, считая его безопасным, что даёт злоумышленникам возможность осуществлять удаленное управление и проникновение в корпоративные сети.

Как работает PipeMagic

PipeMagic построен на языке Rust и на первый взгляд выглядит как обычное приложение ChatGPT. При запуске оно отображает пустой экран, что выглядит подозрительно, но многие пользователи не обращают на это внимание. В реальности же приложение скрывает зашифрованную полезную нагрузку, которая затем запускает цепочку действий: сначала троян проверяет устройство, а затем устанавливает бэкдор, позволяя хакерам управлять заражённым компьютером.

PipeMagic использует уникальную технологию каналов передачи данных. Он создает так называемые каналы (pipes), через которые происходит обмен командами и кодами с сервером управления, находящимся в облаке Microsoft Azure. Таким образом, троян может не только осуществлять сбор данных, но и служить шлюзом для более сложных атак.

Фишинговые атаки продолжают оставаться одним из главных векторов атак для киберпреступников, и по этой причине предприятиям важно инвестировать в программы повышения осведомленности и обучения безопасности. Пользователи должны уметь различать поддельные приложения и ссылки, избегая взаимодействия с подозрительными файлами и сайтами.

Подписывайтесь на наш Телеграм-канал