Фишинговые атаки становятся всё более изощрёнными, и одним из последних прорывов в этой области стало появление схемы, получившей название precision-validating phishing. Этот метод впервые подробно описала компания Cofense, специализирующаяся на кибербезопасности. В отличие от традиционных массовых рассылок, здесь злоумышленники используют точечный подход, проверяя электронную почту жертвы в реальном времени до показа поддельной страницы входа.
В основе precision-validating phishing лежит механика предварительной проверки: жертва вводит свой email на фишинговой странице, после чего система валидирует этот адрес по заранее собранной базе активных и ценных аккаунтов. Только если email найден в списке, человеку предлагают поддельную форму входа — и только тогда начинается попытка кражи пароля. Если введённый email отсутствует в базе, жертва либо видит ошибку, либо автоматически перенаправляется, например, на сайт Wikipedia, чтобы не вызвать подозрений.
Как отмечают специалисты Cofense, «этот приём не только увеличивает успех злоумышленников в получении пригодных учётных данных, но и позволяет им работать только с заранее отобранной аудиторией, что резко снижает вероятность обнаружения». Такой подход отличается от старых схем spray-and-pray, когда спам рассылался по тысячам случайных адресов без какой-либо фильтрации.
Ключевую роль в этих атаках играют инструменты проверки — API и JavaScript, которые интегрируются в фишинговые комплекты. Благодаря этому злоумышленники моментально узнают, актуален ли email, и могут мгновенно отсеять неработающие или бесполезные адреса. В результате, как подчёркивает Cofense, они «повышают качество украденных данных для последующей перепродажи или дальнейшего использования».
Ещё одним важным преимуществом precision-validating phishing стала его устойчивость к современным защитным системам. Автоматические сканеры и песочницы, используемые для выявления угроз, не способны пройти валидацию, так как их адреса отсутствуют в списках, а значит, они не видят саму поддельную страницу входа. Это значительно продлевает срок жизни кампаний и уменьшает риск для самих злоумышленников.
Эксперты Cofense также разоблачили другую сложную двухэтапную фишинговую атаку, которая начинается с электронного письма с напоминанием об удалении файла. В письме находится ссылка на файл, якобы размещённый на — реальном сервисе для хранения данных. После перехода по ссылке пользователь попадает на легитимный сайт и скачивает PDF-документ. Открыв PDF, жертва сталкивается с выбором: «просмотреть» или «загрузить» файл.
Если пользователь выбирает предпросмотр, он попадает на поддельную страницу входа Microsoft, где мошенники пытаются украсть его учётные данные. Если выбирает загрузку — на компьютер скачивается вредоносное приложение, замаскированное под Microsoft OneDrive, но на самом деле представляющее собой программу удалённого доступа ScreenConnect от компании ConnectWise.
Подобная схема, по словам Cofense, «словно специально спроектирована так, чтобы заманить пользователя в ловушку — вынудить его выбрать, какой из "ядов" он готов принять». Оба варианта ведут к одной и той же цели — компрометации пользователя, но реализуются разными техническими средствами.
В этих атаках задействованы известные киберпреступные группировки Storm-1811 и STAC5777. Они используют подписанные исполняемые файлы, такие как TeamViewer.exe, с подгруженными вредоносными библиотеками TV.dll, а также создают управляющие каналы на базе JavaScript и Node.js.
Ключевые сервисы, которые злоумышленники используют для легитимизации атак, включают , бренд Microsoft, а также такие программы как TeamViewer и ScreenConnect от ConnectWise.
В результате подобных атак злоумышленники получают исключительно актуальные и ценные данные, что увеличивает их прибыльность и усложняет задачу защитников. Precision-validating phishing уже изменил расстановку сил на поле фишинговых кампаний, и его примеры становятся всё более частыми среди целевых атак на корпоративных и частных пользователей.
Изображение носит иллюстративный характер
В основе precision-validating phishing лежит механика предварительной проверки: жертва вводит свой email на фишинговой странице, после чего система валидирует этот адрес по заранее собранной базе активных и ценных аккаунтов. Только если email найден в списке, человеку предлагают поддельную форму входа — и только тогда начинается попытка кражи пароля. Если введённый email отсутствует в базе, жертва либо видит ошибку, либо автоматически перенаправляется, например, на сайт Wikipedia, чтобы не вызвать подозрений.
Как отмечают специалисты Cofense, «этот приём не только увеличивает успех злоумышленников в получении пригодных учётных данных, но и позволяет им работать только с заранее отобранной аудиторией, что резко снижает вероятность обнаружения». Такой подход отличается от старых схем spray-and-pray, когда спам рассылался по тысячам случайных адресов без какой-либо фильтрации.
Ключевую роль в этих атаках играют инструменты проверки — API и JavaScript, которые интегрируются в фишинговые комплекты. Благодаря этому злоумышленники моментально узнают, актуален ли email, и могут мгновенно отсеять неработающие или бесполезные адреса. В результате, как подчёркивает Cofense, они «повышают качество украденных данных для последующей перепродажи или дальнейшего использования».
Ещё одним важным преимуществом precision-validating phishing стала его устойчивость к современным защитным системам. Автоматические сканеры и песочницы, используемые для выявления угроз, не способны пройти валидацию, так как их адреса отсутствуют в списках, а значит, они не видят саму поддельную страницу входа. Это значительно продлевает срок жизни кампаний и уменьшает риск для самих злоумышленников.
Эксперты Cofense также разоблачили другую сложную двухэтапную фишинговую атаку, которая начинается с электронного письма с напоминанием об удалении файла. В письме находится ссылка на файл, якобы размещённый на — реальном сервисе для хранения данных. После перехода по ссылке пользователь попадает на легитимный сайт и скачивает PDF-документ. Открыв PDF, жертва сталкивается с выбором: «просмотреть» или «загрузить» файл.
Если пользователь выбирает предпросмотр, он попадает на поддельную страницу входа Microsoft, где мошенники пытаются украсть его учётные данные. Если выбирает загрузку — на компьютер скачивается вредоносное приложение, замаскированное под Microsoft OneDrive, но на самом деле представляющее собой программу удалённого доступа ScreenConnect от компании ConnectWise.
Подобная схема, по словам Cofense, «словно специально спроектирована так, чтобы заманить пользователя в ловушку — вынудить его выбрать, какой из "ядов" он готов принять». Оба варианта ведут к одной и той же цели — компрометации пользователя, но реализуются разными техническими средствами.
В этих атаках задействованы известные киберпреступные группировки Storm-1811 и STAC5777. Они используют подписанные исполняемые файлы, такие как TeamViewer.exe, с подгруженными вредоносными библиотеками TV.dll, а также создают управляющие каналы на базе JavaScript и Node.js.
Ключевые сервисы, которые злоумышленники используют для легитимизации атак, включают , бренд Microsoft, а также такие программы как TeamViewer и ScreenConnect от ConnectWise.
В результате подобных атак злоумышленники получают исключительно актуальные и ценные данные, что увеличивает их прибыльность и усложняет задачу защитников. Precision-validating phishing уже изменил расстановку сил на поле фишинговых кампаний, и его примеры становятся всё более частыми среди целевых атак на корпоративных и частных пользователей.
