Новости Верх кнопки — легитимный сайт, низ — фишинг. Что такое split-click и почему сканеры его не видят

NewsMaker

I'm just a script
Премиум
27,988
46
8 Ноя 2022
Обман спрятали так аккуратно, что попасться на него мог буквально кто угодно.


dzc4tmqj9k93zfdp4lqy522nq4worcyx.jpg

В июне специалисты Barracuda зафиксировали серию почтовых атак, где злоумышленники использовали настоящие страницы Microsoft, вложения PDF, необычные кнопки и вредоносные сценарии вместо привычных фальшивых форм входа.

Главным приёмом стала атака через платформу Tycoon 2FA. Жертве присылали письмо с предупреждением о переполненном почтовом ящике и вложенным приглашением в календарь. Кнопка вела не на поддельный сайт, а на реальную страницу входа Microsoft, связанную с учётной записью злоумышленников. После авторизации атакующие перехватывали токен сеанса, который открывал доступ к почте, файлам и связанным сервисам Microsoft 365.

Схема опасна не только кражей пароля. Через OAuth-разрешения , то есть права приложения на доступ к данным, преступники запрашивали доступ к Outlook и офлайн-доступ, позволяющий сохранить контроль через обновляемый токен. Календарные приглашения помогают обходить часть почтовых защит, потому что такой канал проверяют реже, чем обычные ссылки в письмах.

В другой кампании вредоносную ссылку вынесли из тела письма в PDF-вложение , связанное с оплатой или соблюдением требований. Документ открывал поддельный процесс входа по коду устройства. В отличие от прежних атак такого типа, злоумышленники не использовали настоящие API Microsoft, а генерировали фальшивые коды прямо в браузере. CAPTCHA отсекала автоматические проверки, а страницы самоуничтожались через заданное время, усложняя разбор инцидента.

Специалисты также описали редкий приём «split-click», при котором одна кнопка ведёт себя по-разному в зависимости от точки нажатия. Верхняя часть открывала легитимную страницу Microsoft, нижняя запускала перенаправление через временную страницу браузера на фишинговый ресурс Sneaky 2FA. Такой трюк помогает показать безопасный путь автоматическим сканерам и скрыть вредоносный сценарий от стандартной проверки ссылок.

Почтовые атаки всё чаще уходят от простой кражи учётных данных к доставке вредоносных файлов. В одном случае ссылка на якобы PDF-счёт скачивала JavaScript-файл со скрытым кодом, способный загрузить дополнительное вредоносное ПО , собрать сведения о системе и закрепиться в среде. В другой кампании злоумышленники выдавали себя за Управление социального обеспечения США и запускали код прямо в памяти Windows через ActiveX, снижая заметность для традиционных средств защиты.

Barracuda рекомендует защищать не только пароли, но и токены сеансов, проверять календарные приглашения, вложения и цепочки входа, использовать поведенческое обнаружение, усиливать защиту конечных устройств и быстрее реагировать на короткоживущие фишинговые страницы. Обучение сотрудников также стоит обновить под реальные схемы, где вредоносная атака может начинаться с настоящей страницы входа.
 
Источник новости
www.securitylab.ru

Похожие темы