Фишинговая кампания нового поколения: злоумышленники обходят многофакторную аутентификацию через PDF-документы

phishing

Киберпреступники постоянно ищут способы обойти самую надёжную защиту корпоративных учётных записей - многофакторную аутентификацию. Недавно исследователи из команды SonicWall Capture Labs зафиксировали активную фишинговую кампанию, которая использует для этого принципиально иной подход. Вместо того чтобы выманивать логин и пароль, злоумышленники перехватывают сессионные cookie, которые сервер считает подтверждением уже пройденной аутентификации. Это означает, что даже ввод одноразового кода из приложения не спасает - сессия крадётся целиком.

Описание

Атака относится к классу Adversary-in-the-Middle (AiTM) - по сути, это усовершенствованный вариант классического посредника между жертвой и сайтом. В традиционном фишинге жертва попадает на поддельную страницу, которая внешне неотличима от настоящей, и вводит свои учётные данные. Но с распространением многофакторной аутентификации кража пароля перестала гарантировать доступ. AiTM атака решает эту проблему: между пользователем и легитимным сервисом в реальном времени работает прокси-сервер, который пропускает через себя весь трафик. Жертва проходит аутентификацию на настоящей странице Microsoft, вводит пароль, получает push-уведомление или одноразовый код, одобряет вход - а злоумышленник в этот момент перехватывает и сессионную cookie. Далее эту cookie загружают в браузер атакующего, и сервер считает, что в системе находится доверенный пользователь.

Кампания, которую описали специалисты SonicWall, использует в качестве начального вектора PDF-документы. Письмо с таким файлом приходит на почту жертвы и выглядит вполне официально - например, содержит кнопки "View Legal Documents on amcal multi-housing" или "View Document". Как только получатель кликает по кнопке, открывается вредоносный URL. Перед тем как показать якобы запрашиваемый документ, сайт предлагает пройти CAPTCHA-проверку - либо в виде перетаскивания ползунка, либо просто галочки. У этого приёма два преимущества: во‑первых, проверка выглядит естественно и не вызывает подозрений, во‑вторых, она отсеивает автоматические анализаторы, которые не умеют решать капчу.

После прохождения проверки жертва видит страницу, на которой отображается случайно сгенерированный код и кнопка "Copy Code". Текст рядом поясняет, что код нужен для верификации и доступа к документу. Достаточно просто скопировать его - и происходит автоматическое перенаправление на настоящую страницу входа в Microsoft. Сам код не несёт никакой функциональной нагрузки, это чисто психологический трюк: пользователь привык, что при работе с документами бывают "коды подтверждения", поэтому он легко выполняет действие, не задумываясь. В кампании используется несколько вариантов оформления: подпись документа через Docusign, соглашение о неразглашении с трёхшаговым процессом, размытый чек, который нужно "проверить" - везде встроена та же схема с копированием кода.

Стоит отметить, что вредоносная страница применяет и более сложные методы защиты от анализа. В её исходном коде обнаружены антиотладочные ловушки: если открыть инструменты разработчика или попытаться просмотреть скрипты, выполнение кода останавливается. Кроме того, сайт выполняет IP-футпринтинг: через Cloudflare-посредник отправляется кросс-доменный запрос к сервису ipinfo[.]io. Таким образом злоумышленники определяют географическое положение жертвы, фильтруют трафик и оценивают "легитимность" соединения. Такая проверка помогает обходить песочницы и автоматические системы анализа вредоносного контента.

Когда жертва оказывается на настоящей странице Microsoft, все дальнейшие действия проходят через тот же прокси-сервер атакующего. Пользователь вводит логин, пароль, затем получает запрос на подтверждение входа - либо push-уведомление на телефон, либо одноразовый код. Всё это передаётся через промежуточный сервер, который прозрачно ретранслирует данные. В результате Microsoft выдаёт сессионную cookie, которая подтверждает успешное прохождение всех этапов аутентификации. Злоумышленник сразу же перехватывает эту cookie. После этого жертва может даже не заметить ничего необычного - страница загружается, документ (если он реально существовал) открывается. Но атакующий уже имеет действующую сессию и может войти в аккаунт жертвы без запроса дополнительных факторов. Для сервера эта сессия абсолютно легитимна, так как прошла полную верификацию.

Последствия такой атаки могут быть катастрофическими для любой организации. Похищение сессионной cookie позволяет злоумышленнику получить доступ к корпоративной почте, облачным сервисам, внутренним системам. При этом жертва может не подозревать о компрометации до тех пор, пока не произойдёт утечка данных или не будет замечена подозрительная активность. Многофакторная аутентификация в данном случае не только не защищает, но и создаёт ложное чувство безопасности - пользователи считают, что если они подтвердили вход через приложение, то всё в порядке. Однако именно этот подтверждённый сеанс и крадут.

Фишинг через PDF-документы становится всё более популярным вектором. Встраивание CAPTCHA и социальной инженерии с "копированием кода" значительно снижает порог срабатывания для жертвы - она не вводит никаких секретных данных, а лишь выполняет то, что от неё просят. Специалистам по информационной безопасности следует обратить внимание на поведенческий анализ действий пользователей и внедрение систем, которые отслеживают аномалии при входе - например, вход с необычного IP или браузера после успешной аутентификации. Также стоит усилить мониторинг использования сессионных cookie и требовать повторной аутентификации при смене сетевого контекста.

Кампания, выявленная SonicWall, показывает, что атакующие перешли на новый уровень сложности. Для защиты недостаточно просто установить многофакторную аутентификацию - необходимо комбинировать её с анализом поведения, обучением сотрудников и современными инструментами защиты от фишинга, которые способны распознавать подозрительные переадресации даже после прохождения капчи. В противном случае даже самая надёжная многофакторная защита может быть сведена на нет одним неосторожным кликом по PDF-документу в почтовом ящике.

Индикаторы компрометации

URLs

  • http://rothan.com.mx/
  • https://check.ricsta.workers.dev/
  • https://fdeboogwoz-3040541580.ekliniktofit.com/remittance/slide.html
  • https://review.canvario.nl/admin-sign/
  • https://tracking.us.nylas.com/l/0edbb50019d342d6ad0197363f4ea1cc/0/18b1d8c26df027607b36fded8622abb452f483cfe036426b9bacce50c59eb90e?cache_buster=1778103430

SHA256

  • 0dc0a30e3d26fc3566791cf341b2be2b606446d9660a5110e2432ea0d0b181c2
  • 29cfd2e7437560d8a641f123661e3c814fffc642ac8d02a03fe8230d774858bd
  • 468620b8f8f4e2d62fd7db4b78cb55de3bbcc522c5f2388cb2caafcbae0e074a
  • 5b0013eb20c756215b201e564dabb4601d87def1addced27e7cc5087f5e72e01
  • 684a4b9daa3793cc41cba80e61cf7159e99031499e03f5f59f89c5883cf25aaa
  • 8a33f094ec95d11ebb5d7905354c7a04e00268a6a95408323a6690560a183853
  • 901ef11851c97a93268f3c5f7d54219ddaec1b758189d3054b2afc2fd1fabffc
  • b269747c42eec3d6629951c56add3a472bd00a0fde97fb3c922d9c2c942e9a9d
  • d49b835f6b06af0f037bb61fe04cf4d6368ac4351b5514941f54def8c85b722a
  • de8a6688164c0fc22edfdb47ce3065a34d105aea2b9c14876625b3c7ad35cb37

Комментарии: 0