- Используйте шлюзы E -Mail и инструменты безопасности, никогда не нажимая реальный сервер
- Blob Uris означает, что фишинговый контент не размещен в Интернете
- Нет странных Urls, нет хитрых
Исследователи безопасности обнаружили ряд фишинговых кампаний, которые используют редко используемую технологию для кражи информации о входе в систему, даже если они защищены путем шифрования.
Новое исследование Кот Метод основан на Blob Uris, функции браузера, с которой должен отображаться временный локальный контент, а киберпреступники злоупотребляют этой функцией для предоставления фишинговых сайтов.
Blob URI полностью созданы и доступны в браузере пользователя, что означает, что фишинговый контент никогда не доступен на общедоступном сервере. Это чрезвычайно затрудняет распознавание даже самых передовых систем защиты конечных точек.
Скрытая технология, которая проскользнует мимо защиты
В этих кампаниях процесс фишинга начинается с e -e -mail, которая легко обходит безопасные шлюзы E -Mail (SEG). Эти e -mails обычно содержат ссылку на законную страницу, которая часто размещается в надежных доменах, таких как OneDrive Microsoft.
Тем не менее, эта первая страница не размещает фишинговую контент напрямую. Вместо этого он выступает в качестве посредника и молчаливо заряжает HTML -файл, контролируемый угрозами, которые декодируют в URI Blob.
Результатом является фальшивая сторона входа в систему, которая отображается в браузере жертвы и улучшила портал регистрации Microsoft.
Для жертвы ничто не является неуместным — никаких странных URL -адресов или очевидных признаков мошенничества — просто запрос на регистрацию, чтобы указать безопасное сообщение или получить доступ к документу. Как только вы нажимаете на «Зарегистрироваться», страница направляет страницу в другой HTML -файл, управляемый злоумышленниками, который генерирует локальный URI Blob, который показывает поддельную страницу регистрации.
Поскольку Blob -Uuris полностью работает в памяти браузера и недоступен извне сеанса, обычные инструменты безопасности не могут сканировать или блокировать контент.
«Этот метод делает обнаружение и анализ особенно трудным», — сказал Джейкоб Малимбан из команды Cotense Intelligence.
«Фишинг -страница создается и отображается с помощью Blob URI на сайте. Она не размещена онлайн, так что ее нельзя отсканировать или заблокировать обычным способом».
Информация о входе в систему, введенную на фальшивой странице, молчаливо не осознает конечную точку дистанционного управления дистанционной угрозы мечтателя и жертвы.
Фильтры безопасности на основе искусственного интеллекта также испытывают трудности с уловами этих атак, поскольку Blob-Uris редко используется злонамеренно и может быть не очень хорошо представлен в учебных данных. Исследователи предупреждают, что этот метод, вероятно, будет атакован злоумышленниками, если не развиваются методы обнаружения.
Чтобы защитить себя от таких угроз, организациям просят попрощаться с передовыми решениями брандмауэра-а-услуги (FWAAS) и Zero Trust Network Access (ZTNA), которые могут помочь обеспечить доступ и охарактеризовать подозрительные регистрационные действия.
Вы также могли бы понравиться
