СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#ИБ

Гибридный фишинг: новые угрозы кибербезопасности в 2023 году

Гибридный фишинг: новые угрозы кибербезопасности в 2023 году

Исследователи из Forcepoint выявили примечательную фишинговую кампанию, которая сочетает в себе классические фишинговые тактики и распространение вредоносных программ. К этой кампании примыкает использование образца из семейства вредоносных программ X-Worm/Formbook.

Детали фишинговой кампании

Фишинговое электронное письмо привлекает внимание благодаря обманчивому форматированию отправителя и стандартным приманкам, таким как:

  • Срочные сообщения об ограничениях на хранение;
  • Кнопка «Очистить хранилище», перенаправляющая на вредоносную страницу.

Фишинговая страница была размещена в Межпланетной файловой системе (IPFS), что придает ей дополнительную легитимность. Основная цель сайта — не только получение учетных данных пользователей, но и сбор контекстных данных о жертвах.

Технические аспекты атаки

Для повышения эффективности фишинга злоумышленники использовали внешний JavaScript-файл из geoplugin.net, который отслеживал:

  • Геолокацию;
  • Сведения о системе;
  • Местное время.

Эта стратегия позволяет создать более персонализированный интерфейс и увеличивает шансы на успех атаки. Кроме того, содержимое фишинговой страницы было скрыто с помощью JavaScript, что значительно усложняет усилия по ее обнаружению.

Вредоносное вложение и его последствия

Электронное письмо также содержало вредоносное вложение в архиве RAR, не имеющее отношения к теме письма. После его выполнения содержимое архива активировало вредоносное ПО из семейства X-Worm/Formbook. Эта вредоносная программа функционирует с помощью .NET-скомпилированного загрузчика.

Таким образом, она:

  • Доставляет полезную нагрузку на втором этапе;
  • Использует методы антианализа, такие как задержки в режиме ожидания;
  • Модифицирует систему, добавляя исключения для защитника Windows.

Также, вредоносное ПО создает запланированные задачи для обеспечения постоянного доступа, пытается взаимодействовать с внешними IP-адресами для потенциального управления операцией или утечки данных и использует внедрение кода для своей работы.

Реакция Forcepoint на угрозу

Данный гибридный подход к атакам подчеркивает адаптивные стратегии кибератакеров. Для противодействия подобным угрозам Forcepoint внедрила многоуровневую защиту, которая включает:

  • Блокировку фишинговых электронных писем;
  • Защиту от вредоносных вложений;
  • Пресечение попыток перенаправления пользователей на фишинговые страницы.

Таким образом, кампания представляет собой эволюцию методов работы злоумышленников, объединяющих фишинг и вредоносное ПО, максимально увеличивая шансы на взлом систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: