Мошенники используют инфраструктуру Adobe для фишинга через LinkedIn: новая угроза для бизнес-пользователей

Потенциальная жертва получает письмо, которое маскируется под деловое предложение. Злоумышленники старательно имитируют оформление сообщений от LinkedIn. В письме содержится вложение с пометкой "контракт". Однако при внимательном рассмотрении специалисты по информационной безопасности обнаруживают целый ряд признаков подделки. Имя отправителя, его электронный адрес и подпись в письме не совпадают друг с другом. Компания, от имени которой якобы направлено предложение, действительно существует, но не зарегистрирована в Соединённых Штатах. Имя отправителя также реально, но этот человек не работает в указанной организации. Наконец, файл во вложении имеет двойное расширение, а именно pdf.html.

Текст самого письма краток и имитирует стандартную деловую переписку. В нём говорится, что адресат хотел бы вести бизнес через LinkedIn, представляется покупателем и просит найти приложенный подписанный контракт с определённым номером. Такая формулировка рассчитана на то, что сотрудник компании, привыкший к подобным запросам, откроет файл без лишних подозрений.

Приём с двойным расширением файла давно известен специалистам по защите от угроз. Он вводит получателя в заблуждение относительно истинного типа содержимого. На самом деле вложение представляет собой HTML-файл. Его код сильно запутан и по сути представляет собой одну строку на языке JavaScript. Вредоносный скрипт использует два распространённых метода обфускации, то есть запутывания кода, а именно кодирование URL и кодировку Base64. Исследователи выяснили, что скрипт разделён на две части, каждая из которых закодирована отдельно.

После открытия вложения на экране появляется простая форма для входа. Она полностью имитирует страницу авторизации LinkedIn. Адрес электронной почты жертвы уже жёстко прописан в коде формы и не подлежит изменению. Такая особенность, по мнению экспертов, используется для того, чтобы помешать исследователям безопасности, которые могли бы попытаться заглушить канал приёма украденных данных множеством ложных записей.

Самое интересное в этой атаке - механизм, который злоумышленники используют для перенаправления. Сетевой анализ показывает, что фишинговый сценарий обращается к домену lnkd.tt.omtrdc.net. Этот адрес принадлежит компании Adobe и связан с платформой A/B-тестирования Adobe Target. Однако атакующие не используют эту платформу для непосредственного приёма украденных паролей. Специалисты обнаружили, что Adobe Target служит здесь точкой перенаправления и отслеживания жертв. Вероятно, таким образом злоумышленники фиксируют, кто именно попался на удочку. В конечном счёте система перенаправляет жертву на легитимный сайт business.linkedin.com, чтобы рассеять возможные подозрения.

После того как исследователи декодировали вредоносные скрипты, они нашли конечный пункт сбора введённых учётных данных. Украденные логины и пароли отправляются методом POST на PHP-сайт с адресом a1263367.xsph[.]ru. На этом сервере размещён файл taam/Ln.php, который принимает данные. В запросе передаются два параметра: жёстко заданный адрес электронной почты и введённый пользователем пароль. PHP-файл отвечает за перенаправление на сайт LinkedIn, создавая у жертвы полную иллюзию успешного входа в систему.

Несмотря на многоступенчатую обфускацию, сам метод атаки остаётся довольно примитивным. Злоумышленники не применяют сложных эксплойтов или ранее неизвестных уязвимостей. Они полагаются на невнимательность пользователя и доверие к деловой переписке.

Такая атака представляет серьёзную угрозу для корпоративного сектора. Сотрудники компаний регулярно получают деловые предложения через LinkedIn. Письмо, имитирующее стандартный запрос, может легко пройти через базовые системы антиспама. После того как жертва вводит свои учётные данные, злоумышленники получают доступ не только к профилю в социальной сети, но потенциально и к другим корпоративным ресурсам, если сотрудник использует одинаковые пароли. Перенаправление на легитимный сайт в конце процесса усыпляет бдительность, и пользователь может даже не заподозрить, что его пароль скомпрометирован.

Для защиты от подобных угроз специалистам служб информационной безопасности стоит обратить внимание на обучение персонала. Сотрудников необходимо предупреждать о недопустимости открытия вложений с двойным расширением и о необходимости проверять несоответствия в данных отправителя. Кроме того, корпоративные почтовые шлюзы следует настраивать на блокировку или карантин HTML-файлов, полученных из внешних источников. Использование многофакторной аутентификации также может снизить риски, даже если пароль будет украден. Данная кампания лишний раз напоминает: доверять внешнему виду электронного письма нельзя, даже если оно перенаправляет вас на совершенно реальный сайт.

URLs

• http://a1263367.xsph.ru/taam/Ln.php