- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете: Для просмотра ссылки Войдиили Зарегистрируйся
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете: Для просмотра ссылки Войди