Cofense Intelligence: новая фишинговая тактика позволяет обойти защиту и украсть доступ к корпоративным аккаунтам

Специалисты в области кибербезопасности зафиксировали появление усовершенствованной схемы атак, нацеленной на кражу конфиденциальной информации. Исследование, проведённое командой Cofense Intelligence, показало, что злоумышленники начали использовать метод, при котором вредоносные сайты отображаются только проверенным адресатам, прошедшим специальную онлайн-проверку. Такой подход значительно повышает шанс взлома корпоративных аккаунтов и затрудняет реагирование со стороны защитных систем.

Как отметили в Cofense Intelligence, в отличие от привычных массовых рассылок, эта кампания сосредоточена на заранее отобранных пользователях. Их адреса электронной почты предварительно сверяются с базами данных, находящимися под контролем киберпреступников. Если введённый пользователем адрес подтверждается системой, он получает доступ к следующему этапу — странице ввода личной информации. В противном случае система имитирует ошибку или перенаправляет на безобидный ресурс.

По наблюдениям экспертов, проверка проходит с использованием скриптов, чаще всего написанных на языке JavaScript, или через внедрённые API-интеграции, позволяющие проводить сверку в реальном времени. В ряде случаев злоумышленники маскируют свои инструменты, применяя URL-адреса, зашифрованные в формате Base64, которые скрывают списки электронных адресов. Эти данные затем расшифровываются скриптами, фильтрующими подходящие цели.

В Cofense Intelligence обратили внимание на свежие примеры применения этой технологии. Так, была зафиксирована кампания, в которой вредоносные страницы направлялись исключительно тем, чьи адреса совпадали с нужными записями. Если информация не соответствовала, пользователь попадал на легальный сайт — например, на Wikipedia. Это позволяло максимально скрыть злонамеренные действия и избежать детектирования.

Сама схема атаки базируется на двух вариантах технической реализации. Первый использует сторонние API-сервисы, с помощью которых преступники мгновенно проверяют адреса. Второй подход основывается на скриптах JavaScript, скрытых на вредоносных страницах. Они обеспечивают связь с серверами преступников, проводят проверку адреса и лишь после этого запускают этап сбора данных.

В результате такой фильтрации вредоносное содержимое становится недоступным для автоматических систем проверки и тестовых сред, которые применяются для анализа угроз. Это существенно снижает вероятность выявления атаки и помогает преступникам действовать незаметно.

Полная версия отчета представлена по ссылке.