Κατά τη διάρκεια πρόσφατης έρευνας, εντοπίστηκε μια phishing καμπάνια που συνδυάζει δωρεάν hosting σε πλατφόρμες για developers με παραβιασμένα νόμιμα websites, προκειμένου να στηθούν πειστικές σελίδες εισόδου για τράπεζες και ασφαλιστικές. Αυτές οι ψεύτικες σελίδες δεν κλέβουν μόνο όνομα χρήστη και κωδικό πρόσβασης – ζητούν επίσης απαντήσεις σε μυστικές ερωτήσεις και άλλα “εφεδρικά” στοιχεία, τα οποία οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για να παρακάμψουν το multi-factor authentication και τις δικλείδες ασφαλείας στην ανάκτηση λογαριασμών.
Αντί να στέλνει τα κλεμμένα δεδομένα σε έναν παραδοσιακό command-and-control server, το kit προωθεί κάθε υποβολή σε ένα Telegram bot, όπως σημειώνει το malwarebytes. Αυτό δίνει στους επιτιθέμενους μια ζωντανή ροή από φρέσκα logins που μπορούν να αξιοποιήσουν άμεσα. Παράλληλα, παρακάμπτει πολλές στρατηγικές φραγής που βασίζονται σε domains και κάνει την αλλαγή υποδομής εξαιρετικά εύκολη.
Οι ομάδες phishing χρησιμοποιούν ολοένα και περισσότερο υπηρεσίες όπως το Cloudflare Pages (*.pages.dev) για να φιλοξενήσουν τα ψεύτικα portals τους, αντιγράφοντας κάποιες φορές μια πραγματική οθόνη login σχεδόν pixel προς pixel. Στην προκειμένη περίπτωση, οι δράστες δημιούργησαν subdomains που παρίσταναν χρηματοπιστωτικούς και παρόχους υγείας. Το πρώτο που εντοπίστηκε από την malwarebytes παρίστανε την τράπεζα Heartland Arvest.
Σε πιο προσεκτική εξέταση, ο phishing ιστότοπος εμφανίζει στους επισκέπτες δύο οθόνες “αποτυχημένης σύνδεσης”, ζητά απαντήσεις σε ερωτήσεις ασφαλείας και στη συνέχεια στέλνει όλα τα credentials και τις απαντήσεις σε ένα Telegram bot.
Συγκρίνοντας την υποδομή τους με άλλους ιστότοπους, για παράδειγμα το ερευνητές του malwarebytes βρήκαν έναν που παρίστανε ένα πολύ πιο γνωστό brand: την United Healthcare.
Σε αυτή την περίπτωση, οι phishers εκμεταλλεύτηκαν ένα παραβιασμένο website ως redirector. Οι επιτιθέμενοι πήραν τον έλεγχο ενός domain που έμοιαζε νόμιμο, όπως το biancalentinidesigns[.]com, και το “φόρτωσαν” με μεγάλα, δυσνόητα paths που χρησιμοποιούνται για phishing ή redirection. Τα emails παραπέμπουν πρώτα στο πραγματικό domain, το οποίο στη συνέχεια προωθεί το θύμα στο ενεργό phishing site στο Cloudflare Pages. Μηνύματα που περιέχουν ένα γνώριμο ή «αθώο» domain έχουν περισσότερες πιθανότητες να περάσουν τα spam filters απ’ ό,τι links που οδηγούν κατευθείαν σε ένα προφανώς καινούριο cloud-hosted subdomain.
Το cloud-based hosting κάνει επίσης δυσκολότερα τα takedowns. Αν κάποιο *.pages.dev hostname αναφερθεί και κατέβει, οι επιτιθέμενοι μπορούν να ανεβάσουν γρήγορα το ίδιο kit σε άλλο τυχαίο subdomain και να συνεχίσουν τη δραστηριότητά τους.
Το phishing kit στο επίκεντρο αυτής της καμπάνιας ακολουθεί ένα πολυβήμα μοτίβο, σχεδιασμένο έτσι ώστε να μοιάζει με κανονική ροή σύνδεσης, ενώ στην πραγματικότητα αντλεί όσο το δυνατόν περισσότερα ευαίσθητα δεδομένα.
Αντί να χρησιμοποιεί ένα κλασικό form submission προς κάποιο ορατό backend, η JavaScript συλλέγει τα πεδία και τα πακετάρει σε ένα μήνυμα που στέλνεται απευθείας στο Telegram API. Το μήνυμα μπορεί να περιλαμβάνει τη διεύθυνση IP του θύματος, το user agent και όλα τα πεδία που καταγράφηκαν, προσφέροντας στους εγκληματίες ένα τακτοποιημένο “instant snapshot” που μπορούν να αξιοποιήσουν για να παρακάμψουν άμυνες ή να κάνουν login από παρόμοιο περιβάλλον.
Ο μηχανισμός exfiltration είναι ένα από τα πιο ανησυχητικά σημεία. Αντί τα credentials να αποστέλλονται σε κάποιο κεντρικό hosted panel, το kit τα δημοσιεύει σε ένα ή περισσότερα Telegram chats, χρησιμοποιώντας bot tokens και chat IDs που είναι hardcoded στη JavaScript. Μόλις ένα θύμα υποβάλει τη φόρμα, ο χειριστής λαμβάνει άμεσα μήνυμα στον Telegram client του με όλες τις λεπτομέρειες, έτοιμες για άμεση χρήση ή μεταπώληση.
Αυτή η προσέγγιση προσφέρει αρκετά πλεονεκτήματα στους επιτιθέμενους: μπορούν να αλλάζουν συχνά bots και chat IDs, δεν χρειάζεται να διατηρούν δικό τους server και πολλά συστήματα ασφαλείας δίνουν λιγότερη προσοχή σε traffic που μοιάζει με κανονική σύνδεση προς μια γνωστή πλατφόρμα messaging. Η εναλλαγή πολλών bots και chats τους προσφέρει επιπλέον ανοχή σε αστοχίες, αν κάποιο token αναφερθεί και ανακληθεί.
Πώς μπορεί να μοιάζει μια επίθεση
Αν ενώσουμε τα κομμάτια, η εμπειρία ενός θύματος σε μια τέτοια καμπάνια συχνά μοιάζει ως εξής:
- Λαμβάνει ένα phishing email σχετικά με online banking ή παροχές υγείας: «Έχει περιοριστεί η πρόσβαση στο online banking σας» ή «Επείγον: Ενημέρωση για τις παροχές United Health».
- Το link οδηγεί σε έναν νόμιμο αλλά παραβιασμένο ιστότοπο, με ένα μεγάλο ή παράξενο path που δεν προκαλεί άμεσα υποψίες.
- Ο παραβιασμένος ιστότοπος κάνει ανακατεύθυνση, σιωπηλά ή μετά από μια μικρή καθυστέρηση, σε ένα *.pages.dev phishing site που μοιάζει σχεδόν ολόιδιο με το πραγματικό brand που μιμείται.
- Αφού εισαγάγει όνομα χρήστη και κωδικό, το θύμα βλέπει ένα σφάλμα ή ένα επιπλέον βήμα επαλήθευσης και καλείται να δώσει απαντήσεις σε μυστικές ερωτήσεις ή περισσότερες προσωπικές και οικονομικές πληροφορίες.
- Στο παρασκήνιο, κάθε πεδίο που υποβάλλεται καταγράφεται σε JavaScript και αποστέλλεται σε ένα Telegram bot, όπου ο επιτιθέμενος μπορεί να το χρησιμοποιήσει ή να το πουλήσει αμέσως.
Από τη σκοπιά του θύματος, δεν φαίνεται να συμβαίνει κάτι περίεργο, πέρα από ένα λίγο παράξενο link και μια αποτυχημένη προσπάθεια σύνδεσης. Για τους επιτιθέμενους όμως, ο συνδυασμός δωρεάν hosting, παραβιασμένων redirectors και exfiltration μέσω Telegram τους δίνει ταχύτητα, κλίμακα και ανθεκτικότητα.
Η ευρύτερη τάση πίσω από αυτή την καμπάνια είναι ξεκάθαρη: βασιζόμενοι σε δωρεάν web hosting και mainstream πλατφόρμες messaging, οι phishing actors αποφεύγουν πολλά από τα “σημεία στραγγαλισμού” στα οποία στηρίζονταν παλαιότερα οι αμυνόμενοι, όπως μεμονωμένες κακόβουλες IP ή εξόφθαλμα ύποπτα domains. Η δημιουργία νέας υποδομής είναι φθηνή, γρήγορη και σε μεγάλο βαθμό αόρατη για τα θύματα.
Πώς να μείνετε ασφαλείς
Η ενημέρωση και μια υγιής δόση σκεπτικισμού είναι βασικά στοιχεία για να παραμείνετε ασφαλείς. Μερικές συνήθειες που μπορούν να σας βοηθήσουν να αποφύγετε αυτά τα portals:
- Να ελέγχετε πάντα ολόκληρο το όνομα του domain, όχι μόνο το logo ή τον σχεδιασμό της σελίδας. Οι τράπεζες και οι ασφαλιστικές δεν φιλοξενούν σελίδες εισόδου σε γενικά developer domains όπως *.pages.dev, *.netlify.app ή σε περίεργα paths πάνω σε άσχετα sites.
- Μην κάνετε κλικ σε links για σύνδεση ή παροχές που έρχονται με απρόσμενα emails ή SMS. Αντί γι’ αυτό, πηγαίνετε στον ιστότοπο του οργανισμού μέσω σελιδοδείκτη ή πληκτρολογώντας εσείς οι ίδιοι τη διεύθυνση.
- Αντιμετωπίζετε με καχυποψία ξαφνικές πρόσθετες «επαληθεύσεις ασφαλείας» μετά από αποτυχημένη σύνδεση, ειδικά αν ζητούν απαντήσεις σε ερωτήσεις ασφαλείας, αριθμούς καρτών ή κωδικούς email.
- Αν κάτι στο link, στο timing ή στα ζητούμενα στοιχεία σας φαίνεται λάθος, σταματήστε και επικοινωνήστε με τον πάροχο χρησιμοποιώντας αξιόπιστα στοιχεία επικοινωνίας από τον επίσημο ιστότοπό του.
- Χρησιμοποιήστε μια ενημερωμένη λύση anti-malware με δυνατότητα web protection.
