Вредоносную операцию так и не удалось бы выявить, если бы не фатальная ошибка злоумышленников.
Как сообщают специалисты компании Cofense, в последнее время киберпреступники активно используют программу SuperMailer для рассылки фишинговых электронных писем, которые не блокируются SEG-защитой. По данным исследователей, только в этом мае SuperMailer был использован для отправки 5% от всех фишинговых писем с запросом учётных данных. Учитывая разнообразие разнообразных программ и почтовых клиентов — это очень много. Более того, объём кампании растёт экспоненциально.
«Сочетая возможности настройки и отправки SuperMailer с методами обхода защиты, злоумышленники доставляют поддельные, но крайне правдоподобные письма в почтовые ящики различных отраслей», — объяснил Брэд Хаас, аналитик по киберугрозам в Cofense.
SuperMailer — это немецкая программа для создания и отправки электронных рассылок, позволяющая создавать письма в формате HTML или текста с использованием переменных данных получателей. Она поддерживает работу с несколькими почтовыми системами, что позволяет распределить отправку писем по разным сервисам и уменьшить риск их блокировки.
Кроме того, SuperMailer довольно уязвим к такому типу атак, как «Open Redirect», при которых законные веб-страницы могут автоматически перенаправлять пользователя на любой URL-адрес, указанный в параметре. Это даёт возможность злоумышленникам использовать абсолютно легитимные URL в качестве первичных фишинговых ссылок.
«Если почтовый шлюз не следует за перенаправлением, он проверяет только содержание или репутацию законного сайта. Хотя Open Redirect обычно считается уязвимостью, его часто можно найти даже на известных сайтах. Например, в анализируемых кампаниях использовалось открытое перенаправление на YouTube», — сообщил Хаас.
Cofense смогла отследить активность SuperMailer благодаря ошибке кодирования, которую совершили злоумышленники при создании шаблонов писем: все письма содержали уникальную строку, указывающую на то, что они были созданы с помощью SuperMailer. Однако блокировать сообщения по этой строке или целиком запрещать легитимные сервисы рассылки — не является верным решением.
«Мы больше не обнаружили никаких уникальных характеристик, которые позволили бы нам массово блокировать письма, созданные злоумышленниками с помощью SuperMailer. В рассмотренной кампании письма были идентифицированы только из-за ошибки преступников», — отметил Хаас.
Однако есть и другие характеристики, которые могут указывать на потенциальные угрозы безопасности, даже без знания их происхождения. Например, их содержание. Примером может служить добавление цепочек ответов на электронную почту к сообщениям без учёта целевой аудитории.
«Человеческая интуиция часто гораздо лучше распознаёт эти различия. Поэтому обучение сотрудников бдительности против фишинговых угроз является важным элементом хорошей киберзащиты», — заключил Хаас.
Наш канал — питательная среда для вашего интеллекта