1 июня

GraphQL усиливает фишинг под Gmail и Cloudflare

Недавние фишинговые кампании демонстрируют заметную эволюцию инструментов и подходов, которые используют злоумышленники. Одним из наиболее примечательных примеров стала атака, стилизованная под Gmail и построенная с применением GraphQL для сбора учетных записей. Такая схема не только имитировала привычную страницу входа, но и размещалась за инфраструктурой Cloudflare, что помогало скрывать источник атаки и снижать вероятность обнаружения.

Как работает схема

Атака начинается с письма, созданного с использованием социальной инженерии. Его задача — побудить жертву перейти по ссылке на домен, специально оформленный под Gmail. После перехода пользователю сначала предлагают пройти проверку reCAPTCHA, чтобы отфильтровать автоматизированных ботов, и только затем открывают доступ к фишинговому сайту.

На следующем этапе жертве предлагается ввести свои учетные данные Gmail. В отличие от традиционного фишинга, который обычно опирается на простые формы отправки данных, в этой кампании используются мутации GraphQL. Это позволяет структурированно передавать данные и выполнять проверку на стороне сервера в реальном времени, не раскрывая клиенту детали взаимодействия.

Почему GraphQL усложняет обнаружение

Использование GraphQL переводит фишинговую операцию со стандартной эксфильтрации на основе форм к более сложным рабочим процессам, основанным на API. В результате вредоносный трафик лучше смешивается с легитимным трафиком приложений, что затрудняет работу систем обнаружения.

Ключевая особенность такой схемы заключается в гибком управлении данными. Злоумышленник отправляет учетные данные на сервер GraphQL через мутацию — операцию, которая обычно используется для внесения изменений в базу данных. Проверка при этом выполняется на стороне сервера, а не в браузере жертвы.

Это снижает традиционные риски, связанные с раскрытием данных сессии: информация о сессии и cookie сохраняются на серверной стороне, а не передаются в рамках клиентских взаимодействий. Такой подход заметно отличается от классических man-in-the-browser фреймворков, включая Evilginx, которые обычно требуют живого проксирования легитимного сайта и могут быть более заметны для средств защиты.

Что дает атакующим такая архитектура

Представляя трафик как обычные вызовы API вместо полной отрисовки веб-страниц, злоумышленники получают возможность более эффективно обходить стандартные меры безопасности. Кроме того, подобная конфигурация упрощает операционную часть атаки, включая быструю ротацию фронтенд-доменов при сохранении согласованности бэкенда.

Это, в свою очередь, усиливает закрепление и делает инфраструктуру кампании более устойчивой к блокировкам и точечным мерам реагирования.

Вывод

Использование GraphQL в фишинговых кампаниях показывает общий тренд: киберпреступники все активнее переходят к более сложным, API-ориентированным методам. Такие схемы не только повышают операционную гибкость злоумышленников, но и существенно снижают вероятность обнаружения со стороны защитных систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: