Spoločnosť Microsoft varuje pred novou phishingovou kampaňou, ktorá zneužíva dôveru používateľov v známych cloudových službách. Hackeri začali využívať služby ako SharePoint, OneDrive či Dropbox na šírenie škodlivých súborov, cez ktoré sa snažia ukradnúť prihlasovacie údaje či nasadiť malvér. Informuje o tom portál The Hackers news.

Sofistikovaná taktika

Zneužívanie dôveryhodných internetových služieb je čoraz rozšírenejšou taktikou, pretože útočník dokáže splynúť s prostredím a tým sa znižuje pravdepodobnosť odhalenia a komplikuje sa aj identifikácia pôvodcov útoku. Útoky majú rôzne ciele.

Hackeri sa snažia ukradnúť prihlasovacie údaje, narušiť identitu používateľov, napadnúť zariadenia alebo vykonávať útoky typu BEC (Business Email Compromise), ktoré vedú k finančným podvodom, krádeži dát a k šíreniu útoku na ďalšie zariadenia pripojené v sieti.

Nový trend v útokoch

Táto praktika, ktorá využíva dôveru používateľov známych služieb na obídenie bezpečnostných opatrení v emailoch sa nazýva aj ako „living-off-trusted-sites“ (LOTS). Spoločnosť Microsoft uviedla, že od polovice apríla 2024 zaznamenáva nový trend v phishingových útokoch, ktoré zneužívajú známe služby na ukladanie súborov. Tieto kampane zahŕňajú súbory, ktoré majú obmedzený prístupu alebo sú len na prezeranie.

Škodlivé súbory sú doručované napríklad cez e-maily alebo prílohy vo formáte PDF, OneNote či Word. Ich cieľom je získať prístup k identitám alebo zariadeniam.

„Súbory odoslané prostredníctvom phishingových e-mailov sú nakonfigurované tak, aby boli prístupné iba určenému príjemcovi. Vyžaduje si to, aby bol príjemca prihlásený do služby na zdieľanie súborov – či už je to Dropbox, OneDrive alebo SharePoint – alebo aby sa znova overil zadaním svojej e-mailovej adresy spolu s jednorazovým heslom (OTP) prijatým prostredníctvom služby upozornení,“ uvádza Microsoft.

Ďalším druhom súborov sú tie na prezeranie. „Aby sa obišla analýza e-mailovými detonačnými systémami, súbory zdieľané pri týchto phishingových útokoch sú nastavené na režim „iba na prezeranie“, čím sa znemožní možnosť sťahovania a následne aj detekcia vložených adries URL v súbore,“ píše Microsoft.

Škodlivé súbory

Príjemca je vyzvaný, aby overil svoju identitu poskytnutím svojej e-mailovej adresy a jednorazového hesla zaslaného na jeho e-mailový účet. Po autorizovaní používateľ dostane pokyn, aby klikol na iný odkaz na zobrazenie obsahu. To používateľa presmeruje na phishingovú stránku, ktorá ukradne heslo a tokeny dvojfaktorovej autentifikácie (2FA).

Po získaní prístupu útočník umiestni škodlivý súbor na známu hostingovú službu a zdieľa ho s používateľom. Tento spôsob vyvolá u používateľa dôveru a tým umožňuje útočníkom obísť bezpečnostné opatrenia a získať prístup k údajom.

Útočníci využívajú lákavé názvy súborov

Aby používateľ dôveroval v škodlivých súboroch, útočníci využívajú lákavé nazvy súborov, ako „Audit Report 2024“. Útočníci sa môžu vydávať za správcov IT a škodlivý súbor môže niesť názov ako „IT Filing Support 2024“ alebo „Forms related to Tax submission“.

Ako ďalej upozorňuje Microsoft, častou taktikou útočníkov je tiež vyvolať pocit naliehavosti a tak sa objavia názvy ako „Urgent: Attention Required“ alebo „Compromised Password Reset“.

Útočníci používajú čoraz viac sofistikovanejšie taktiky na útoky a ukradnutie používateľských prístupov. Preto si treba dávať pozor, používať kvalitný prehliadač a bezpečnostné softvéry, ktoré dokážu odhaliť a zablokovať podvodné stránky.