Великий обсяг кампанія збору облікових даних використовує законну програму електронної розсилки під назвою SuperMailer, щоб вибухнути значну кількість фішингових електронних листів, призначених для ухилення від захисту безпечного електронного шлюзу (SEG).
Відповідно до звіту Cofense від 23 травня, кампанія настільки розгорнулася, що на електронні листи, створені SuperMailer, припадає значні 5% усіх фішів облікових даних у телеметрії фірми в травні. Здається, що загроза зростає в геометричній прогресії: загальний місячний обсяг активності збільшився більш ніж удвічі за три з останніх чотирьох місяців — помітно навіть у ландшафті, де Фішинг облікових даних загалом зростає.
«Поєднуючи функції налаштування SuperMailer і можливості надсилання з тактикою ухилення, зловмисники, які стоять за цією кампанією, доставляли персоналізовані, легітимні електронні листи до вхідних повідомлень у всіх галузях», — пояснив Бред Хаас, аналітик із розвідки кіберзагроз у Cofense та автор дослідження.
І справді, Кофейні звіти що загрозливі особи, які стоять за цією діяльністю, розкидають широкі мережі, сподіваючись залучити жертв у різноманітних галузях промисловості, включаючи будівництво, споживчі товари, енергетику, фінансові послуги, громадське харчування, уряд, охорону здоров’я, інформацію та аналітику, страхування, виробництво , засоби масової інформації, видобуток корисних копалин, професійні послуги, роздрібна торгівля, технології, транспорт і комунальні послуги.
Величезний фішинг із SuperMailer
«Що робить цифри ще цікавішими, так це той факт, що SuperMailer — це дещо незрозумілий німецький продукт для розсилки новин, який не має такого масштабу, як більш відомі генератори електронної пошти, такі як ExpertSender або SendGrid», — розповідає Хасс Dark Reading, — але він все ще відстає. ряди шкідливих електронних листів.
«SuperMailer — це програмне забезпечення для робочого столу, яке можна завантажити безкоштовно або за символічну плату з низки сайтів, які можуть бути зовсім не пов’язані з розробником», — каже він. «Безкоштовна версія SuperMailer була випущена на CNET у 2019 році, і з того моменту було завантажено приблизно 1,700 разів. Ця кількість низька порівняно з багатьма популярними завантаженнями програмного забезпечення, але ми не маємо жодної іншої інформації про кількість законних організаційних користувачів».
SuperMailer не відразу відповів на запит Dark Reading про коментар. Але оскільки клієнти розповсюджуються через сторонні веб-сайти та не мають сервера чи хмарного компонента, Хаас зазначає, що метафоричні руки SuperMailer зв’язані, коли справа доходить до викорінення активності.
«У минулому ми бачили, як великими хмарними службами зловживали для надсилання фішингових електронних листів або створення унікальних переадресацій URL-адрес, які вказували на фішингові сторінки, але ці служби часто виявляли та протидіяли активності через певний період часу», — говорить він. «Ми не знаємо, наскільки розробник SuperMailer здатний боротися з цим зловживанням».
Це саме по собі робить SuperMailer привабливим для кіберзлочинців. Але інша причина полягає в тому, що він пропонує привабливу маску для проходження минулих SEG і, зрештою, кінцевих користувачів, завдяки деяким унікальним функціям.
Легко обійти захист електронної пошти
«Це ще один приклад того, як зловмисники зловживають інструментами, розробленими для законних цілей», — зазначає Хаас, додаючи, що функції, які законні користувачі вважають корисними, також сподобаються шахраям. «Це вже відбувається на арені тестування на проникнення, де інструменти тестування на проникнення з відкритим кодом регулярно зловживають загрозливими суб’єктами для здійснення реальної загрозливої діяльності», – каже він.
У цьому випадку SuperMailer пропонує сумісність із кількома системами електронної пошти, що дозволяє зловмисникам поширювати свою операцію надсилання між кількома службами — це зменшує ризик того, що SEG або вищестоящий сервер електронної пошти класифікуватиме електронні листи як небажані через репутацію.
«Актори загрози, ймовірно, мають доступ до різноманітних скомпрометованих облікових записів, і вони використовують функції надсилання SuperMailer для обертання через них», — написав Хаас у своєму звіті про загрозу.
Кампанії, створені за допомогою SuperMailer, також використовують переваги функцій налаштування шаблонів, як-от можливість автоматичного заповнення імені одержувача, електронної адреси, назви організації, ланцюжків відповідей на електронні листи тощо — усе це підвищує легітимність електронного листа для цілей.
Програмне забезпечення також не позначає відкриті перенаправлення — законні веб-сторінки, які автоматично перенаправляють на будь-яку URL-адресу, включену як параметр. Це дозволяє поганим акторам використовувати цілком законні URL-адреси як фішингові посилання на першому етапі.
«Якщо SEG не дотримується перенаправлення, він перевірятиме лише вміст або репутацію законного веб-сайту», — сказав Хаас у звіті. «Хоча відкриті перенаправлення загалом вважаються недоліком, їх часто можна зустріти навіть на популярних сайтах. Наприклад, кампанії, які ми аналізували, використовували відкрите перенаправлення на YouTube».
Захист від загрози SuperMailer
Cofense вдалося відстежити діяльність SuperMailer завдяки помилці кодування, яку зловмисники зробили під час створення шаблонів електронної пошти: усі електронні листи містили унікальний рядок, який показує, що вони створені SuperMailer. Однак розбір повідомлень для цього рядка або ширше блокування всіх законних поштових служб не є відповіддю.
«Ми ще не виявили жодних характеристик за замовчуванням, які б дозволили нам широко блокувати електронні листи, створені SuperMailer», — каже Хаас. «У цьому випадку ідентифіковані характеристики можна було виявити лише через помилку суб’єкта загрози. Без помилки це було б неможливо, оскільки ці характеристики не видно в кожному електронному листі SuperMailer».
Однак він зазначає, що є й інші характеристики, за якими електронні листи можна визначити як потенційні загрози безпеці, навіть не знаючи їхнього походження, включаючи їх вміст. Прикладом можуть бути нецільові ланцюжки відповідей електронної пошти, додані до повідомлень.
Це особливо важливо, враховуючи, що компанія Cofense виявила, що фішинг SuperMailer є частиною більшого набору дій, на які припадає 14% фішингових електронних листів, які потрапляють у вхідні в травні за телеметрією Cofense. Хаас пояснив, що всі електронні листи — надіслані SuperMailer та інші — мають певні ознаки, які об’єднують їх усі разом, наприклад використання рандомізації URL-адрес.
«Людська інтуїція часто набагато краще розпізнає ці відмінності, – каже Хаас, – тому навчання співробітників бути пильними проти фішингових загроз є критично важливим елементом хорошого кіберзахисту».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/endpoint/supermailer-abuse-email-security-super-sized-credential-theft
- : має
- :є
- : ні
- :де
- 1
- 2019
- 23
- 7
- a
- здатність
- Здатний
- зловживання
- доступ
- рахунки
- Рахунки
- через
- діяльність
- актори
- фактичний
- додати
- Перевага
- після
- проти
- ВСІ
- дозволяти
- дозволяє
- вже
- Також
- хоча
- an
- аналітик
- аналітика
- та
- Інший
- відповідь
- будь-який
- оскарження
- приблизно
- ЕСТЬ
- Арена
- AS
- At
- привабливий
- автор
- автоматично
- поганий
- BE
- було
- за
- Краще
- Блокувати
- блокування
- підсилює
- штифтик
- широко
- але
- by
- Кампанія
- Кампанії
- CAN
- можливості
- здатний
- випадок
- Залучайте
- певний
- ланцюга
- характеристика
- перевірка
- Класифікувати
- клієнтів
- хмара
- CNET
- Кодування
- боротьби з
- об'єднання
- приходить
- коментар
- порівняння
- сумісність
- повністю
- компонент
- Компрометація
- Проводити
- вважається
- будівництво
- споживач
- зміст
- створювати
- ІНТЕРЕНЦІЙНИЙ
- критичний
- настройка
- кібер-
- кіберзлочинці
- темно
- Темне читання
- зменшується
- дефолт
- оборони
- поставляється
- призначений
- робочий стіл
- Розробник
- DID
- Відмінності
- відкритий
- do
- робить
- подвоєний
- завантажень
- два
- елемент
- безпека електронної пошти
- повідомлення електронної пошти
- співробітників
- кінець
- енергія
- Весь
- особливо
- Навіть
- Кожен
- приклад
- пояснені
- експоненціально
- факт
- далеко
- реально
- риси
- плата
- боротьба
- фінансовий
- фінансові послуги
- знайти
- Фірма
- стежити
- харчування
- для
- знайдений
- чотири
- Безкоштовна
- від
- Повний
- шлюз
- в цілому
- генерується
- генератори
- отримання
- даний
- добре
- товари
- Уряд
- Зростання
- було
- Руки
- відбувається
- Мати
- he
- охорона здоров'я
- корисний
- гучний
- його
- сподіваючись
- Однак
- HTTPS
- людина
- ідентифікувати
- if
- негайно
- важливо
- in
- включені
- У тому числі
- індикатори
- промисловості
- промисловість
- інформація
- страхування
- Інтелект
- цікавий
- isn
- IT
- сам
- Знати
- Знання
- посадка
- ландшафт
- великий
- більше
- легітимність
- законний
- як
- Ймовірно
- зв'язку
- низький
- made
- РОБОТИ
- виробництво
- багато
- Може..
- Медіа
- повідомлення
- Mining
- помилка
- місяць
- щомісячно
- місяців
- більше
- багато
- множинний
- ім'я
- Названий
- Близько
- мережу
- Інформаційний бюлетень
- немає
- Помітний
- примітки
- номер
- номера
- of
- Пропозиції
- часто
- on
- тільки
- відкрити
- операція
- or
- організація
- організаційної
- Інше
- інші
- з
- загальний
- параметр
- частина
- Минуле
- проникнення
- period
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- точка
- популярний
- потенціал
- Вироблений
- Product
- професійний
- програма
- цілей
- читання
- причина
- визнаючи
- переадресовувати
- регулярно
- випущений
- відповісти
- звітом
- репутація
- запросити
- дослідження
- Реагувати
- роздрібна торгівля
- Risk
- вкорінення
- s
- Зазначений
- говорить
- шкала
- SEA
- безпечний
- безпеку
- Загрози безпеці
- Здається,
- бачив
- послати
- відправка
- обслуговування
- Послуги
- комплект
- кілька
- Поділитись
- значний
- з
- сайти
- So
- так далеко
- Софтвер
- деякі
- кілька
- Source
- поширення
- Як і раніше
- рядок
- такі
- смуги
- Systems
- тактика
- з урахуванням
- Приймати
- цілі
- Технологія
- розповідає
- шаблон
- Шаблони
- Тестування
- ніж
- Дякую
- Що
- Команда
- крадіжка
- їх
- Їх
- Там.
- Ці
- вони
- третя сторона
- це
- ті
- загроза
- актори загроз
- загрози
- три
- через
- TIE
- Зв'язаний
- час
- до
- разом
- інструменти
- трек
- транспорт
- Зрештою
- непокритий
- створеного
- небажаний
- URL
- us
- використання
- використовуваний
- користувачі
- використання
- комунальні послуги
- різноманітність
- Ve
- версія
- через
- жертви
- видимий
- обсяг
- було
- we
- слабкість
- Web
- веб-сайт
- веб-сайти
- добре відомі
- були
- коли
- який
- в той час як
- широкий
- волі
- з
- в
- без
- б
- ще
- YouTube
- зефірнет