Операционный центр безопасности Darktrace недавно выявил новую угрозу в сфере кибербезопасности - фишинговые кампании, использующие легитимные онлайн-сервисы для обхода многофакторной аутентификации (MFA). В частности, злоумышленники активно применяют приложение Milanote и фишинговый набор Tycoon 2FA, что позволяет им маскировать вредоносные письма под легальные уведомления и успешно перехватывать учетные данные пользователей.
Описание
Традиционно MFA считается одним из самых надежных способов защиты от несанкционированного доступа, однако хакеры находят все более изощренные методы его обхода. В данном случае Darktrace классифицирует Milanote как "отправителя бесплатного контента", что помогает злоумышленникам избегать фильтрации спама и антифишинговых систем. Письма, отправляемые через этот сервис, выглядят абсолютно легитимными: они содержат ссылки на якобы важные документы, упоминают реальные компании и даже включают профессиональные формулировки, не вызывающие подозрений у получателей.
Особую опасность представляет фишинговый набор Tycoon 2FA, который специализируется на перехвате MFA-токенов. Этот инструмент позволяет злоумышленникам не только получать логины и пароли, но и обходить второй фактор аутентификации, что делает атаку особенно эффективной. Жертва, перейдя по ссылке из письма, попадает на поддельную страницу входа, где вводит свои учетные данные. После этого злоумышленники используют их в реальном времени для доступа к аккаунту, а жертва даже получает уведомление об успешной регистрации - создавая иллюзию легитимности операции.
Подобные атаки демонстрируют, что злоумышленники постоянно совершенствуют свои методы, адаптируясь к современным системам защиты. Использование доверенных сервисов, таких как Milanote, значительно усложняет обнаружение фишинговых писем, поскольку они не содержат явных признаков мошенничества. Более того, подобные кампании часто нацелены на сотрудников компаний, работающих с конфиденциальной информацией, что увеличивает потенциальный ущерб.
Эксперты Darktrace рекомендуют организациям внедрять дополнительные меры защиты, включая обучение сотрудников распознаванию фишинговых атак, использование расширенных систем мониторинга трафика и внедрение поведенческого анализа для выявления подозрительной активности. Кроме того, важно проверять все входящие письма, даже если они приходят с доверенных доменов, и избегать перехода по ссылкам без дополнительной верификации.
Растущая популярность фишинговых наборов AiTM (Adversary-in-The-Middle) свидетельствует о том, что традиционные методы защиты уже не всегда эффективны. Компаниям необходимо пересматривать свои стратегии кибербезопасности, уделяя особое внимание превентивным мерам и оперативному реагированию на инциденты. В противном случае риски утечки данных и финансовых потерь будут только увеличиваться.
Таким образом, новая волна фишинговых атак с использованием легитимных сервисов - это серьезный вызов для корпоративной безопасности. Только комплексный подход, включающий технологические решения и повышение осведомленности пользователей, может помочь организациям противостоять этим угрозам.
Индикаторы компрометации
IPv4
- 38.242.7.252
- 5.181.3.68
- 89.185.80.19
Domains
- lrn.ialeahed.com
