Несколько месяцев назад компания Trustwave сообщила об интересном сайте под названием "Фишинговая страница-хамелеон". Эти сайты имеют возможность менять свой фон и логотип в зависимости от домена пользователя. Фишинговый сайт хранится в IPFS (InterPlanetary File System), и после анализа URL, используемых злоумышленником, Trustwave заметила растущее число фишинговых писем, содержащих в качестве полезной нагрузки URL IPFS.
С тех пор Trustwave заметила более 3 000 электронных писем, содержащих фишинговые URL, которые использовали IPFS в течение последних 90 дней, и очевидно, что IPFS становится все более популярной платформой для фишинговых веб-сайтов.
IPFS была создана в 2015 году и представляет собой распределенную одноранговую файлообменную систему для хранения и доступа к файлам, веб-сайтам, приложениям и данным. Содержимое доступно через пиров, расположенных по всему миру, которые могут передавать информацию, хранить ее или делать и то, и другое. IPFS может находить файл, используя адрес его содержимого, а не его местоположение. Чтобы получить доступ к части содержимого, пользователям требуется имя хоста шлюза и идентификатор содержимого (CID) файла. В настоящее время большинство данных передается через Интернет с помощью протокола Hypertext Transfer Protocol (HTTP), который использует централизованный подход клиент-сервер. IPFS, с другой стороны, является проектом, направленным на создание полностью децентрализованного интернета, который работает через сеть P2P.
В централизованной сети данные недоступны, если сервер не работает или если связь прервалась. В то время как в IPFS данные являются постоянными. Естественно, это распространяется и на вредоносный контент, хранящийся в сети. Удаление фишингового содержимого, хранящегося на IPFS, может быть затруднено, поскольку даже если оно удалено на одном узле, оно все еще может быть доступно на других узлах.
Одна из основных причин, по которой IPFS стала новой площадкой для фишинга, заключается в том, что многие службы веб-хостинга, хранения файлов или облачные службы теперь предлагают услуги IPFS. Это означает, что у фишеров появляется больше возможностей для создания новых типов фишинговых URL. Кроме того, спамеры могут легко маскировать свою деятельность, размещая контент на легитимном хостинге или используя многочисленные методы перенаправления URL-адресов, чтобы помешать сканерам, использующим репутацию URL-адресов или автоматический анализ URL-адресов.
Indicators of Compromise
- https://ipfs.fleek.co/ipfs/bafybeic63bwxphx3sasgvpb2fvy766aiymvy2pzoz3htx7zomysw67jucu
- https://ipfs.fleek.co/ipfs/bafybeiddmwwk3rvvu5zlweszoyvo54v3corf2eu4fmhxwprhxitj2jdrmi
- https://jobswiper.net/web_data_donot_delete/
- https://jobswiper.net/web_data_donot_delete/store/w3lllink.php
- https://o365spammerstestlink.surge.sh/