Угроза нового поколения: злоумышленники используют Axios для автоматизации фишинга

Особую опасность представляет сочетание Axios с технологией Microsoft Direct Send, которое обеспечивает злоумышленникам беспрецедентную эффективность. В последних кампаниях успешность краж учетных данных достигла 70%, тогда как атаки без Axios показывали результат всего в 9,3%. Это демонстрирует фундаментальный сдвиг в тактике киберпреступников, которые переходят от ручных методов к автоматизированным платформам.

Изначально атаки были нацелены на руководителей высшего звена в таких отраслях, как финансы, здравоохранение и производство. Однако к августу круг жертв расширился до обычных пользователей, что указывает на масштабирование кампании.

Ключевым преимуществом Axios является его способность работать с промисами и перехватывать HTTP-запросы, что позволяет обходить многофакторную аутентификацию (MFA) и перехватывать сессионные токены. Злоумышленники активно используют эту возможность для манипуляций с механизмом Shared Access Signature (SAS) в Azure, получая доступ к конфиденциальным ресурсам без прямых учетных данных.

Серьезной проблемой является легитимность Axios в разработке, что создает слепую зону для традиционных систем защиты. Репутационные фильтры часто пропускают активность Axios, поскольку он широко используется в законных бизнес-процессах. Это позволяет злоумышленникам маскировать вредоносные действия под обычную сетевую активность.

Дополнительный риск связан с интеграцией QR-кодов в фишинговые кампании. Большинство систем защиты электронной почты не сканируют содержимое QR-кодов с той же тщательностью, что и URL-адреса. Жертвы перенаправляются на поддельные страницы ввода учетных данных, размещенные на кратковременных доменах или в доверенных сервисах, таких как Firebase.

Эксперты ReliaQuest рекомендуют организациям принять срочные меры для противодействия этой угрозе. Ключевые шаги включают отключение Direct Send при отсутствии необходимости, настройку антиспуфинговых политик, блокировку подозрительных доменов верхнего уровня и регулярное обучение сотрудников.

Особое внимание следует уделить защите API, поскольку гибкость Axios делает его идеальным инструментом для автоматизации атак на программные интерфейсы. Рекомендуется внедрение строгой валидации ввода, продвинутого ограничения частоты запросов и аномального обнаружения.

Растущая популярность Axios среди злоумышленников сигнализирует о новом этапе в эволюции кибератак - переходе к полностью автоматизированным, масштабируемым и труднообнаруживаемым кампаниям. Организациям необходимо адаптировать свои системы защиты к этой реальности, чтобы предотвратить катастрофические утечки данных и финансовые потери.

IPv4

• 178.130.47.216
• 185.168.208.36
• 185.168.208.44
• 185.168.208.55
• 185.168.208.59
• 185.168.208.60
• 185.168.208.61
• 185.168.208.62
• 185.168.208.63

Domains

• bsfff.es
• cpewyx.es
• ogyhr.es
• ooox.hrcbods.es
• ywnlzl.dwqewi.es