Специалисты по информационной безопасности зафиксировали тревожную эволюцию методов социальной инженерии. Киберпреступники, традиционно полагавшиеся на примитивные поддельные страницы входа, стали осваивать профессиональные инструменты для разработки веб-приложений. Речь идёт о многоэтапной фишинговой кампании, в рамках которой злоумышленники кардинально изменили свою тактику, перейдя от статических страниц-ловушек к динамическим, использующим серверную логику.
Описание
Об этом в своём отчёте сообщили исследователи из Palo Alto Networks, проанализировавшие две последовательные итерации одной и той же атаки.
На первом этапе атака выглядела вполне предсказуемо. Атакующие воспользовались популярным сервисом для создания сайтов systeme.io. Эта платформа позволяет быстро собирать лендинги без навыков программирования. Злоумышленники создали там страницу, которая имитировала интерфейс просмотра документа. Пользователь, ожидавший увидеть важный файл, натыкался на картинку-ссылку. Щелчок по ней мгновенно перебрасывал жертву на фишинговую страницу, расположенную уже на стороннем домене - в данном случае на clarityindesign.de.
Исходный код такой страницы был прозрачен как стекло. В нём прямым текстом лежал и адрес вредоносной посадочной страницы, и ссылка на само изображение, хранившееся в облачном хранилище. Сама посадочная страница представляла собой классическую подделку под окно авторизации Microsoft. Ничего нового в индустрии: стандартный кража учётных данных, на который попадаются ещё неопытные пользователи.
Однако исследователи заметили, что кампания не прекратилась. Через некоторое время появилась её вторая итерация, и вот тут началось самое интересное. Злоумышленники полностью пересобрали схему, отказавшись от простых инструментов в пользу профессиональной low-code платформы retool.com. Этот сервис предназначен для создания внутренних корпоративных приложений с богатой логикой и подключением к базам данных.
Атакующие использовали Retool для развёртывания фишинговых страниц прямо на домене платформы. Они создали приложение, которое внешне неотличимо от страницы просмотра документа из первой версии. Однако технически это было уже не статическое HTML, а полноценное приложение, выполняющее код на стороне клиента. Одной из ключевых особенностей Retool является возможность экспортировать и клонировать приложения. Вероятно, злоумышленники воспользовались именно этой функцией для масштабирования атаки, создав десятки похожих страниц под разными учётными записями.
Главное изменение коснулось механизма перенаправления. Вместо того чтобы встраивать ссылку на вредоносную страницу прямо в разметку, атакующие пошли обходным путём. При загрузке страницы приложение Retool отправляло запрос к собственному API, который в ответ возвращал JSON-файл с настройками. В этом файле и содержался адрес фишинговой страницы, а также привязка события клика к изображению. Пользователь видел картинку, нажимал на неё, и только в этот момент срабатывала логика, уводившая его на мошеннический сайт.
Сам адрес вёрстки был спрятан отдельно - он формировался в виде динамического blob-адреса непосредственно в браузере жертвы во время выполнения скриптов. Это сделало анализ трафика и фильтрацию на уровне прокси или файрвола значительно сложнее.
Но самым примечательным стало изменение самой посадочной страницы. Вместо привычной подделки под окно входа в учётную запись Microsoft атакующие применили более опасную технику - мошенничество с OAuth-кодами устройств. Этот метод нацелен не просто на сбор логина и пароля, а на получение полномочного токена доступа к аккаунту. Жертву просят ввести короткий код на официальном сайте login.microsoftonline.com, после чего злоумышленники перехватывают сессионный токен. Получив его, преступники могут получить доступ к почте, облачным хранилищам и корпоративным сервисам жертвы, и это уже не потребует повторного ввода пароля.
Данная тактика особенно опасна тем, что она обходит многофакторную аутентификацию. Пользователь сам, своими руками, даёт доступ к своему аккаунту, вводя сгенерированный на сайте код. Система безопасности видит легитимный запрос с доверенного устройства, и все стандартные механизмы защиты оказываются бессильны.
Для специалистов по защите периметра эта кампания служит тревожным сигналом. Доверие к облачным платформам-конструкторам становится новым вектором угрозы. Файрволы и прокси-серверы, настроенные на блокировку подозрительных сайтов, пропустят трафик на домен retool.com, поскольку он используется тысячами легальных компаний. Обнаружить вредоносную активность внутри такого приложения возможно только на уровне поведенческого анализа или при помощи специализированных песочниц, которые способны эмулировать взаимодействие с веб-приложением.
Рекомендовать универсальное средство защиты сложно. Единственным действенным методом остаётся повышение уровня осведомлённости персонала. Пользователей необходимо учить распознавать не только поддельные страницы входа, но и ситуации, когда от них требуют ввести код на официальном сайте. Любой запрос на авторизацию, исходящий от неожиданного письма или уведомления в мессенджере, должен вызывать подозрение. Технически же компаниям стоит обратить внимание на политики условного доступа в своих облачных средах, ограничивающие возможность предоставления сторонних разрешений на доступ к данным.
Индикаторы компрометации
URLs
- https://aeroforcelogistics.retool.com/embedded/public/34208266-8e49-4359-bcc2-37eed62685a6
- https://approvedstatement.retool.com/embedded/public/3c1fb86d-f604-4285-835e-0ef5ded40189/page1
- https://contractingcontracts.retool.com/embedded/public/28fd7231-883d-437d-b6ae-12d7a7f181e4
- https://docswvhocare.retool.com/embedded/public/568e9bce-7f22-4541-a643-f3c01a189619
- https://docswvhocare.retool.com/embedded/public/6c5b5531-ad6a-450d-b047-b51b75842427
- https://docswvhocare.retool.com/embedded/public/87210be1-4b87-47c5-8358-add0d76c8f57
- https://employnvcareerhub.retool.com/embedded/public/2c787228-3501-466e-ac8c-8cb33cc199e4
- https://fcsnam.retool.com/embedded/public/1182fcb4-9ba9-4fe4-8859-bb22a251e45d
- https://fcsnam.retool.com/embedded/public/1430aa5f-fffb-4424-b7aa-ae7cab08c561
- https://fcsnam.retool.com/embedded/public/d6647e96-b4b4-4ddb-99e5-af53541e1354
- https://fcsnam.retool.com/embedded/public/f527db59-5fc5-4d9e-8c85-aec1b4260f91
- https://gmiipro.retool.com/embedded/public/0e94706c-657c-41b0-b167-0ba623613c69
- https://lignosscpa.retool.com/embedded/public/d8f212d3-34b5-4264-93d3-972a0e5a8c34
- https://mcmaster1.retool.com/embedded/public/ecb6903c-419b-4fdd-88dc-55711a801083
- https://novusagnourish.retool.com/embedded/public/0694c965-0626-4bb2-b84f-7133ba7eaa54
- https://officemgr.systeme.io
- https://ovvlservice.retool.com/embedded/public/8c55c3b7-1eda-49cc-a354-19961914c2d2
- https://unitedwoundhealing.retool.com/embedded/public/8d3d2c66-660f-4234-b3f5-62dcd7bd715c
- https://vanessa-mendez.systeme.io
- https://wocgrp.retool.com/embedded/public/a15535bc-bb45-4111-9bf5-84a714e5aded"%20width=