Новая атака фишинга: случайный выбор домена и динамическая замена страницы
Источник: cofense.com
Отчет описывает продвинутую фишинговую кампанию, которая демонстрирует эволюцию методов обхода защищенных шлюзов электронной почты (SEGS) и других периметральных средств защиты. Злоумышленники используют нестандартный JavaScript‑скрипт, ориентированный на случайный выбор доменов и серверную динамическую замену контента, что повышает шансы на кражу учетных данных и затрудняет детектирование.
Кратко о механике атаки
Вместо традиционных техник с повторными попытками и статическими редиректами злоумышленники применяют:
- случайный выбор домена для размещения фишинг‑контента (в отчете приводится пример использования случайно выбранного домена .org);
- динамическую замену страницы со стороны сервера, при которой видимый URL остается неизменным, а содержимое страницы подменяется на вредоносное;
- специфический JavaScript‑фрагмент, который избегает привычных механизмов обработки ошибок и повторных попыток и вместо этого использует более «оптимизированный» подход;
- трекер в виде двух UUID — один жестко запрограммированный и один динамически генерируемый с помощью uuidv4, что позволяет сопоставлять украденные данные и отслеживать отдельных жертв.
Технические особенности, на которые стоит обратить внимание
- JavaScript‑фрагмент: ключевой вектор атаки — небольшой, но ориентированный на эффективность скрипт. В отличие от привычных фишинговых скриптов, он не полагается на многократные попытки обращения к одному и тому же домену и не делает статических перенаправлений.
- Отсутствие обработки ошибок: простая запись запросов в console.log и отсутствие retry‑механизмов указывают на целенаправленную минимализацию шума и возрастание эффективности.
- Двойная генерация идентификаторов: жестко заданный UUID (вероятно, для групповой идентификации кампании или целевых наборов) и динамический UUID через uuidv4 для идентификации отдельных жертв.
- Динамическая подмена страницы: сервер злоумышленника может заменить содержимое всей веб‑страницы на вредоносное, не меняя видимый адрес. Это усиливает обман и повышает шанс ввода учетных данных пользователем.
«Сервер злоумышленника может заменить всю веб‑страницу настроенным вредоносным контентом без изменения видимого веб‑адреса.»
Почему это повышает риск
Комбинация случайного выбора доменов, малошумного скрипта и возможности серверной подмены контента делает такую кампанию сложной для традиционных защитных механизмов. SEGS и периметральные фильтры, ориентированные на известные домены, шаблоны редиректов или характерные цепочки повторных обращений, могут не сработать. Дополнительно, наличие динамически генерируемых UUID облегчает злоумышленникам корреляцию похищенных учетных данных с конкретными сессиями и пользователями.
Рекомендации по усилению защиты
- усилить проверку входящих писем не только по известным репутациям доменов, но и по аномалиям в поведении ссылок и динамическому содержимому;
- внедрять многофакторную аутентификацию (MFA) и политики, минимизирующие ценность скомпрометированных пар логин/пароль;
- мониторить нетипичные паттерны доменов (включая одноразовые и случайно сгенерированные домены на .org и других зонах);
- использовать детекцию изменений содержимого страниц и скриптов, а также sandbox‑проверки для выявления серверной подмены контента;
- инструментировать фронтенд‑логирование и развёртывать средства мониторинга, способные обнаруживать нетипичные AJAX‑вызовы и аномальные UUID‑паттерны.
Эта кампания демонстрирует тревожную тенденцию: злоумышленники уходят от «громких» шаблонов в сторону тонких, оптимизированных техник, которые сложнее обнаружить классическими средствами. Организациям и пользователям необходимо постоянно адаптировать инструменты и практики безопасности, чтобы противостоять таким изощренным фишинговым угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
