Новый уровень фишинга: когда URL не врёт
3 мин
87
Специалисты компании Push Security выявили новую волну фишинга с прокаченным инструментарием «Браузер в браузере» (Browser-in-the-Browser, BITB) в наборах «Фишинг как услуга» (Phishing-as-a-Service, PhaaS). Как отмечают кибербез-исследователи, техника не новая, но её появление в PhaaS-наборе говорит, что злоумышленники выходят на новый уровень автоматизации своих схем.
Push Security называет наборы PhaaS основой современной фишинговой индустрии. Tycoon, NakedPages, Flowerstorm, Salty2FA и разные варианты Evilginx доминируют на рынке и активно атакуют рядовых пользователей в интернете. Эти инструменты снижают порог входа для преступников: не нужно глубоких знаний программирования, чтобы запустить продвинутую кампанию кибератак.
Конкурентная среда заставляет разработчиков софта для кибератак постоянно добавлять фишки: обход многофакторной аутентификации, атаки с понижением уровня защиты, методы уклонения от детекта всего подряд — от почтовых сканеров до веб-прокси. В последнее время ИБ-специалисты фиксируют рост обнаружений Sneaky2FA, управляемого телеграм-ботом. Покупатели Sneaky2FA получают лицензированную запутанную версию кода и сами деплоят её на серверах. Это делает набор удобным для профилирования благодаря схожести кодовой базы. Один из инцидентов показал ИБ-исследователям, что в Sneaky2FA начали использовать BITB вместо стандартного обратного прокси.
Фишинговый инструмент типа Adversary-in-the-Middle (AITM), который нацелен на учётные записи Microsoft 365 и способен красть учётные данные и коды двухфакторной аутентификации (2FA). Инструмент активно используется с октября 2024 года.
BITB маскирует подозрительные URL, имитируя обычную функцию браузера, а именно всплывающую форму входа. Фейковые страницы BITB делают iframe с вредоносным сервером, показывая пользователю легитимный адрес Microsoft вместо реального фишингового домена.
При первом заходе на сайт, например previewdoc[.]us, пользователь проходит проверку Cloudflare Turnstile. Затем страница перебрасывает на поддомен, где предлагается «Войти с помощью Microsoft» для просмотра документа в стиле Adobe Acrobat Reader. При клике открывается фальшивая форма входа в Microsoft во встроенном браузере с кастомным фоном, имитирующим библиотеку документов. Всплывающее окно подстраивается под ОС и браузер жертвы. После завершения аутентификации злоумышленник получает учётные данные и активную сессию — захват аккаунта готов.
Переход Sneaky2FA на BITB может быть не единичным случаем. Raccoon0365 тоже начал использовать BITB после анонса обновления. Появление BITB и частые обновления методов обхода означают, что традиционные средства защиты будут легко обходиться.
