תוכן פרסומי
ראשי » חדשות » אבטחת מידע וסייבר » מיקרוסופט מזהירה ארגונים מפני חדירת נוזקות באמצעות כתובות URL של גוגל
זהירות: קמפיין תקיפה חדש שולח אימיילים שנראים לגיטימיים. אילוסטרציה: BigStock

מיקרוסופט מזהירה ארגונים מפני חדירת נוזקות באמצעות כתובות URL של גוגל

קמפיין תקיפה חדש ומתוחכם של הנדסה חברתית שזיהו חוקרי האיומים של החברה משתמש בטופסי קשר לגיטימיים של אתרים כדי לשלוח כתובות URL של גוגל שנראות אמיתיות, אבל מובילות להחדרת נוזקת IceID למערכת המותקפת

מאת 14 באפריל 2021, 16:41 א+ / א- הדפסה הדפסה
פייסבוק טוויטר ווטסאפ פינטרסט לינקדאין דוא״ל

מיקרוסופט (Microsoft) פרסמה בבלוג הרשמי שלה אזהרה לארגונים מפני קמפיין תקיפה חדש, המשתמש בטופסי קשר של אתרים לגיטימיים כדי להעביר קישורים זדוניים לעסקים באמצעות אימיילים, המכילים איומים משפטיים. האימיילים מנחים את המקבלים ללחוץ על קישור כדי לבדוק את ההוכחה לכאורה שעומדת מאחורי האיומים, אך במקום זאת גורמים להורדת נוזקת גניבת המידע IceID.

במרבית האתרים יש טופסי קשר, המאפשרים לגולשים לתקשר עם בעלי האתר. בקמפיין הזה, הבחינו חוקרי האיומים של החברה, שתוקפים מטרגטים ארגונים באמצעות ניצול טופסי הקשר שלהם. החוקרים סבורים, כי שטף האימיילים הנוצרים מטופסי הקשר מעידים כי תוקפים יצרו תהליך אוטומטי באמצעות עקיפת הגנות מבחן ה-CAPTCHA, שמטרתו להבטיח שהגולש הוא זה שעונה וכי התשובה לא מופקת באמצעות מחשב.

משלוח טופסי הקשר הללו מוביל לאימייל זדוני, שנוחת בתיבת הדואר של הקורבן, והוא נראה אמיתי משום שהוא מגיע ממערכת שיווק אמינה. ההודעה של התוקפים מנוסחת בלשון של דחיפות: "הורד זאת מיד ובדוק זאת בעצמך" – ומאיצה במקבל לפעול במהירות. ההודעה כוללת קישור לכתובת URL לגיטימית של גוגל (Google).

לחיצה על הקישור מביאה את הקורבן לדף של גוגל, המבקש את כניסתו עם אמצעי הזיהוי של חשבון גוגל שלו. הכניסה תפעיל אוטומטית הורדה של קובץ ZIP זדוני, שבסופו של דבר מוריד את נוזקת IceID למערכת המותקפת.

כאשר היא מופעלת, IceID מתקשרת לשרת שמוריד למערכת המותקפת מודולים המפקחים על פונקציות שונות, כמו "שאיבה" של נתוני חשבון בנק ואחרים, וכלים נוספים שמאפשרים לתוקפים לבצע מרחוק פעילויות זדוניות על המערכת שנפרצה, כולל גניבת נתוני זיהוי שונים ואף שליחת נוזקות נוספות למערכת.

מיקרוסופט התריעה בפני גוגל על הקמפיין הזה מאחר שהוא מנצל לרעה כתובות URL לגיטימיות של גוגל.

"בעוד שהקמפיין הספציפי הזה שולח את נוזקת ה-IceID, שיטת המשלוח יכולה להיות מנוצלת להפצה של שלל נוזקות נוספות, שיכולות בתורן להחדיר איומים אחרים לארגון", כותבים החוקרים בבלוג.

"הקמפיין הזה מוצלח לא רק מפי שהוא מנצל טופסי קשר לגיטימיים", מציינים חוקרי מיקרוסופט, "אלא שהתוכן הכתוב בהודעה נראה כמו משהו שהמקבל עשוי לצפות לו. בנוסף, מאחר שהאימיילים נראים תקינים לכאורה, המקבל מתייחס אליהם באמון".

אימיילים עם איומים משפטיים

התוקפים משתמשים באיומים משפטיים כ'טקטיקת הפחדה'", מציינים החוקרים, ובאופן עקבי מאשימים את המקבלים בהפרת זכויות – אם של צלם, מאייר או מעצב – ומאיימים כי יינקטו נגדם צעדים משפטיים, תוך שימוש במשפטים כמו "אתה עלול להיתבע", או "זה לא חוקי".

"הקמפיין הזה יוצר סיכון גבוה לארגונים, של תוקפים שמצליחים לשלוח אימיילים לתא הדואר, ומשום שאין להם מאפיינים טיפוסיים של הודעות זדוניות והם נראים לגיטימיים, הם מתחמקים ממסנני דואר זבל וספאם, ולכן עוד יותר נראים אמינים", מציינים החוקרים.

לסיכום דבריהם, כותבים החוקרים, כי "המחקר הזה מראה שהתוקפים הם תמיד בעלי מוטיבציה למצוא דרכים חדשות לשלוח אימיילים זדוניים לארגונים במטרה ברורה להסתיר את הזיהוי שלהם. התסריטים שהבחנו בהם מספקים הצצה לתחכום הגובר בטכניקות של התוקפים, המתמידים במטרה של שליחת נוזקה מסוכנת ומזיקה כמו IceID. השימוש הזה באמצעות משלוח של טפסים ראוי לציון, משום שהאימיילים לא מכילים סימנים אופייניים להודעה זדונית ונראים לכאורה לגיטימיים".

מיקרוסופט גם מציינת בבלוג, כי Microsoft Defender for Office 365 מציע הגנה מפני אימיילים מסוג זה ומשתמש בטכנולוגיות מתקדמות, מבוססות AI ולימוד מכונה, כדי לזהות טכניקות וכלים חדשים של התוקפים.

החברה ממליצה לארגונים לבדוק את כללי זרימת האימיילים של הארגון כדי לאתר יוצאי דופן, ולבנות באופן עקבי עמידות ארגונית נגד איומי דואר באמצעות חינוך המשתמשים לזהות תקיפות של הנדסה חברתית כדי למנוע חדירה של נוזקות.

מיקרוסופט מזהירה ארגונים מפני חדירת נוזקות באמצעות כתובות URL של גוגל Reviewed by on . מיקרוסופט (Microsoft) פרסמה בבלוג הרשמי שלה אזהרה לארגונים מפני קמפיין תקיפה חדש, המשתמש בטופסי קשר של אתרים לגיטימיים כדי להעביר קישורים זדוניים לעסקים באמצעות מיקרוסופט (Microsoft) פרסמה בבלוג הרשמי שלה אזהרה לארגונים מפני קמפיין תקיפה חדש, המשתמש בטופסי קשר של אתרים לגיטימיים כדי להעביר קישורים זדוניים לעסקים באמצעות Rating: 0

הגיבו