Een hoog volume campagne voor het verzamelen van diploma's gebruikt een legitiem e-mailnieuwsbriefprogramma met de naam SuperMailer om een aanzienlijk aantal phishing-e-mails te verspreiden die zijn ontworpen om de beveiliging van de beveiligde e-mailgateway (SEG) te omzeilen.
Volgens een rapport van Cofense van 23 mei heeft de campagne zo'n grote vlucht genomen dat tot nu toe door SuperMailer gemaakte e-mails goed waren voor een aanzienlijke 5% van alle credential phishes binnen de telemetrie van het bedrijf in de maand mei. De dreiging lijkt exponentieel toe te nemen: het maandelijkse volume van de totale activiteit is meer dan verdubbeld in drie van de afgelopen vier maanden - zelfs opmerkelijk in een landschap waar credential phishing neemt over het algemeen toe.
"Door de aanpassingsfuncties en verzendmogelijkheden van SuperMailer te combineren met ontwijkingstactieken, hebben de dreigingsactoren achter de campagne op maat gemaakte, legitiem ogende e-mails afgeleverd in inboxen in elke branche", aldus Brad Haas, cyberdreigingsinformatie-analist bij Cofense en auteur van het onderzoek.
En inderdaad, Dat meldt Cofense dat de bedreigingsactoren achter de activiteit een breed net uitwerpen, in de hoop slachtoffers binnen te halen in een gevarieerde zee van industrieën, waaronder de bouw, consumptiegoederen, energie, financiële diensten, foodservice, overheid, gezondheidszorg, informatie en analyse, verzekeringen, productie , media, mijnbouw, professionele dienstverlening, detailhandel, technologie, transport en nutsvoorzieningen.
Supergrote phishing met SuperMailer
Wat de cijfers nog interessanter maakt, is het feit dat SuperMailer een ietwat obscuur in Duitsland gebaseerd nieuwsbriefproduct is dat bij lange na niet in de buurt komt van de meer bekende e-mailgeneratoren zoals ExpertSender of SendGrid, vertelt Hass aan Dark Reading. massa's kwaadaardige e-mails.
"SuperMailer is desktopsoftware die gratis of tegen een kleine vergoeding kan worden gedownload van een aantal sites die volledig los staan van de ontwikkelaar", zegt hij. “Een gratis versie van SuperMailer is uitgebracht op CNET in 2019 en heeft sindsdien ongeveer 1,700 downloads gehad. Dit aantal is laag in vergelijking met veel populaire softwaredownloads, maar we hebben geen andere informatie over het aantal legitieme organisatorische gebruikers.”
SuperMailer reageerde niet onmiddellijk op het verzoek om commentaar van Dark Reading. Maar aangezien de clients worden verspreid via websites van derden en geen server- of cloudcomponent hebben, merkt Haas op dat de metaforische handen van SuperMailer gebonden zijn als het gaat om het uitroeien van de activiteit.
"In het verleden hebben we gezien dat grote, op de cloud gebaseerde services werden misbruikt om phishing-e-mails te verzenden of om unieke URL-omleidingen naar phishing-pagina's te maken, maar die services vangen en bestrijden de activiteit vaak na een bepaalde tijd", zegt hij. "We weten niet in hoeverre de SuperMailer-ontwikkelaar in staat is om dit misbruik te bestrijden."
Dat op zich maakt SuperMailer aantrekkelijk voor cybercriminelen. Maar de andere reden is dat het een aantrekkelijke vermomming biedt om voorbij SEG's en uiteindelijk eindgebruikers te komen, dankzij een aantal unieke functies.
E-mailbeveiliging met gemak ontwijken
"Dit is weer een voorbeeld van aanvallers die tools misbruiken die voor legitieme doeleinden zijn ontworpen", merkt Haas op, eraan toevoegend dat functies die legitieme gebruikers nuttig vinden, ook aantrekkelijk zullen zijn voor oplichters. “Dit gebeurt al in de arena voor penetratietesten, waar open source penetratietesttools worden regelmatig misbruikt door dreigingsactoren om daadwerkelijke dreigingsactiviteiten uit te voeren”, zegt hij.
In dit geval biedt SuperMailer compatibiliteit met verschillende e-mailsystemen, waardoor kwaadwillenden hun verzendactiviteiten over meerdere services kunnen spreiden. Dit verkleint het risico dat een SEG- of upstream-e-mailserver e-mails vanwege reputatie als ongewenst classificeert.
"De dreigingsactoren hebben waarschijnlijk toegang tot verschillende gecompromitteerde accounts en gebruiken de verzendfuncties van SuperMailer om er doorheen te rouleren", schreef Haas in zijn rapport over de dreiging.
De door SuperMailer gegenereerde campagnes maken ook gebruik van functies voor het aanpassen van sjablonen, zoals de mogelijkheid om automatisch de naam van een ontvanger, e-mail, organisatienaam, e-mailantwoordketens en meer in te vullen — dit alles verhoogt de legitimiteit van de e-mail voor doelen.
De software markeert ook geen open omleidingen — legitieme webpagina's die automatisch omleiden naar elke URL die als parameter is opgenomen. Dat maakt het mogelijk slechte acteurs te gebruiken volledig legitieme URL's als phishinglinks in de eerste fase.
"Als een SEG de omleiding niet volgt, controleert het alleen de inhoud of reputatie van de legitieme website", zei Haas in het rapport. “Hoewel open omleidingen over het algemeen als een zwak punt worden beschouwd, zijn ze vaak zelfs op spraakmakende sites te vinden. De door ons geanalyseerde campagnes maakten bijvoorbeeld gebruik van een open redirect op YouTube.”
Verdedigen tegen de SuperMailer-dreiging
Cofense heeft de SuperMailer-activiteit kunnen volgen dankzij een coderingsfout die de aanvallers maakten tijdens het maken van de e-mailsjablonen: de e-mails bevatten allemaal een unieke tekenreeks die aantoont dat ze door SuperMailer zijn geproduceerd. Het parseren van berichten voor die reeks of, breder gezien, het blokkeren van volledige legitieme mailingservices is echter niet de oplossing.
"We hebben nog geen standaardkenmerken ontdekt waarmee we e-mails die door SuperMailer worden gegenereerd grotendeels kunnen blokkeren", zegt Haas. “In dit geval waren de identificeerbare kenmerken alleen te ontdekken door een fout van de bedreigingsactor. Zonder de fout zou het niet haalbaar zijn, aangezien die kenmerken niet in elke SuperMailer-e-mail zichtbaar zijn.”
Hij merkt echter op dat er andere kenmerken zijn die de e-mails zouden identificeren als potentiële beveiligingsbedreigingen, zelfs zonder hun oorsprong te kennen - inclusief hun inhoud. Een voorbeeld zijn niet-doelspecifieke e-mailantwoordketens die aan de berichten worden toegevoegd.
Dit is vooral belangrijk gezien het feit dat Cofense heeft ontdekt dat de SuperMailer-phishes deel uitmaken van een grotere reeks activiteiten die verantwoordelijk waren voor maar liefst 14% van de phishing-e-mails die in mei in de inboxen belandden in de Cofense-telemetrie. Haas legde uit dat alle e-mails - door SuperMailer verzonden en de andere - bepaalde indicatoren delen die ze allemaal met elkaar verbinden, zoals het gebruik van URL-randomisatie.
"De menselijke intuïtie is vaak veel beter in het herkennen van deze verschillen", zegt Haas werknemers trainen om waakzaam te zijn tegen phishing-dreigingen is een essentieel onderdeel van een goede cyberdefensie.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.darkreading.com/endpoint/supermailer-abuse-email-security-super-sized-credential-theft
- : heeft
- :is
- :niet
- :waar
- 1
- 2019
- 23
- 7
- a
- vermogen
- in staat
- misbruik
- toegang
- Account
- accounts
- over
- activiteit
- actoren
- daadwerkelijk
- toe te voegen
- Voordeel
- Na
- tegen
- Alles
- toelaten
- toestaat
- al
- ook
- Hoewel
- an
- analist
- analytics
- en
- Nog een
- beantwoorden
- elke
- hoger beroep
- ongeveer
- ZIJN
- arena
- AS
- At
- aantrekkelijk
- auteur
- webmaster.
- slecht
- BE
- geweest
- achter
- Betere
- Blok
- blokkeren
- boosts
- brad
- breed
- maar
- by
- Campagne
- Campagnes
- CAN
- mogelijkheden
- in staat
- geval
- het worstelen
- zeker
- ketens
- kenmerken
- controle
- classificeren
- klanten
- Cloud
- CNET
- codering
- tegen te gaan
- combineren
- komt
- commentaar
- vergelijking
- verenigbaarheid
- compleet
- bestanddeel
- Aangetast
- Gedrag
- beschouwd
- bouw
- consument
- content
- en je merk te creëren
- IDENTIFICATIE
- kritisch
- maatwerk
- cyber
- cybercriminelen
- Donker
- Donkere lezing
- vermindert
- Standaard
- Verdediging
- geleverd
- ontworpen
- desktop
- Ontwikkelaar
- DEED
- verschillen
- ontdekt
- do
- doet
- verdubbelde
- downloads
- twee
- element
- e-mail beveiliging
- e-mails
- medewerkers
- einde
- energie-niveau
- Geheel
- vooral
- Zelfs
- Alle
- voorbeeld
- uitgelegd
- exponentieel
- feit
- ver
- uitvoerbaar
- Voordelen
- honorarium
- vechten
- financieel
- financiële diensten
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Stevig
- volgen
- eten
- Voor
- gevonden
- vier
- Gratis
- oppompen van
- vol
- poort
- algemeen
- gegenereerde
- generatoren
- het krijgen van
- gegeven
- goed
- goederen
- Overheid
- Groeiend
- HAD
- handen
- gebeurt
- Hebben
- he
- gezondheidszorg
- nuttig
- spraakmakend
- zijn
- in de hoop
- Echter
- HTTPS
- menselijk
- identificeren
- if
- per direct
- belangrijk
- in
- inclusief
- Inclusief
- indicatoren
- industrieën
- -industrie
- informatie
- verzekering
- Intelligentie
- interessant
- isn
- IT
- zelf
- blijven
- Weten
- landing
- Landschap
- Groot
- groter
- wettigheid
- rechtmatig
- als
- Waarschijnlijk
- links
- Laag
- gemaakt
- MERKEN
- productie
- veel
- Mei..
- Media
- berichten
- Mijnbouw
- fout
- Maand
- maandelijks
- maanden
- meer
- veel
- meervoudig
- naam
- Genoemd
- Nabij
- netto
- Nieuwsbrief
- geen
- opvallend
- Opmerkingen
- aantal
- nummers
- of
- Aanbod
- vaak
- on
- Slechts
- open
- operatie
- or
- organisatie
- organisatorische
- Overige
- Overig
- uit
- totaal
- parameter
- deel
- verleden
- doordringen
- periode
- Phishing
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- Populair
- potentieel
- geproduceerd
- Product
- professioneel
- Programma
- doeleinden
- lezing
- reden
- herkennen
- redirect
- regelmatig
- uitgebracht
- antwoord
- verslag
- reputatie
- te vragen
- onderzoek
- Reageren
- <HR>Retail
- Risico
- beworteling
- s
- Zei
- zegt
- Scale
- SEA
- beveiligen
- veiligheid
- Beveiligingsbedreigingen
- lijkt
- gezien
- sturen
- verzending
- service
- Diensten
- reeks
- verscheidene
- Delen
- aanzienlijke
- sinds
- Locaties
- So
- dusver
- Software
- sommige
- enigszins
- bron
- verspreiden
- Still
- Draad
- dergelijk
- delen
- Systems
- tactiek
- op maat gemaakt
- Nemen
- doelen
- Technologie
- vertelt
- sjabloon
- templates
- Testen
- neem contact
- Bedankt
- dat
- De
- diefstal
- hun
- Ze
- Er.
- Deze
- ze
- van derden
- dit
- die
- bedreiging
- bedreigingsactoren
- bedreigingen
- drie
- Door
- BINDEN
- Gebonden
- niet de tijd of
- naar
- samen
- tools
- spoor
- vervoer
- Tenslotte
- ongedekt
- unieke
- ongewenste
- URL
- us
- .
- gebruikt
- gebruikers
- gebruik
- utilities
- variëteit
- Ve
- versie
- via
- slachtoffers
- zichtbaar
- volume
- was
- we
- zwakte
- web
- Website
- websites
- bekend
- waren
- wanneer
- welke
- en
- breed
- wil
- Met
- binnen
- zonder
- zou
- nog
- youtube
- zephyrnet