Активно действующая операция Phishing-as-a-Service (PhaaS) под названием FlowerStorm начала использовать браузерную виртуальную машину для сокрытия кода кражи учетных данных. Исследователи заявляют, что это знаменует собой эскалацию в усложнении фишинговых комплектов, что может затруднить обнаружение атак традиционными инструментами анализа электронной почты и статического анализа.
Исследователи из Sublime Security сообщили в апреле, что они обнаружили эту кампанию, которая использовала KrakVM — общедоступную JavaScript-виртуальную машину, недавно опубликованную на GitHub, — для обфускации вредоносного кода, доставляемого через HTML-вложения в фишинговых письмах.
Кампания нацелена на учетные данные и коды многофакторной аутентификации (MFA) для таких сервисов, как Microsoft 365, Hotmail и GoDaddy, а также поддерживает методы перехвата adversary-in-the-middle (AiTM), предназначенные для угона аутентифицированных сессий.
«Что делает эту кампанию примечательной, так это внедрение KrakVM в качестве оболочки доставки в течение месяца после публичного выпуска проекта», — написали исследователи в своем отчете.
Результаты подчеркивают, что фишинговые операции все чаще применяют методы, традиционно связанные со сложными вредоносными кампаниями, включая виртуализированные среды выполнения и многоуровневые фреймворки обфускации.
Браузерная ВМ используется для сокрытия фишинговых полезных нагрузок
Согласно отчету, жертвы получают фишинговые письма с HTML-вложениями, замаскированными под уведомления о голосовой почте, счета или сообщения от поставщиков. При открытии в браузере встроенный JavaScript немедленно запускает рабочий процесс сбора учетных данных, адаптированный под среду жертвы.
Цепочка атаки использует KrakVM для компиляции вредоносного JavaScript в зашифрованный байт-код, который затем выполняется через виртуальную машину, работающую внутри браузера.
«KrakVM компилирует JavaScript в нечитаемые байты», — написали исследователи, добавив, что затем виртуальная машина интерпретирует и выполняет полезную нагрузку во время выполнения.
Этот подход добавляет несколько уровней обфускации, предназначенных для усложнения статического анализа и обхода традиционных инструментов защиты электронной почты.
Хотя обфускация на основе виртуальных машин давно используется в упаковщиках вредоносного ПО и системах защиты программного обеспечения, ее применение в крупномасштабных фишинговых комплектах встречается гораздо реже.
Кампания динамически адаптируется к жертвам
После деобфускации фишинговая полезная нагрузка загружает инфраструктуру, предназначенную для имитации Microsoft 365 и других порталов входа, динамически адаптируясь к целевым пользователям.
Согласно отчету, вредоносное ПО может определять, какой поставщик аутентификации следует имитировать, предварительно заполнять адреса электронной почты жертв на фишинговых страницах и настраивать брендинговые элементы, такие как логотипы компаний и фоны.
Фишинговый комплект также перечисляет методы MFA, зарегистрированные в учетных записях жертв, включая push-уведомления Microsoft Authenticator, коды TOTP, SMS-аутентификацию и потоки голосовой проверки.
Когда жертва вводит учетные данные, комплект пересылает их на сервер командно-контрольной группы, который пытается выполнить реальный вход в целевой сервис. Если сервис запрашивает MFA, комплект отображает жертве соответствующий запрос, фиксирует ответ и пересылает его для завершения сессии злоумышленника.
Исследователи заявили, что фреймворк поддерживает перехват AiTM в реальном времени, позволяя операторам ретранслировать сеансы аутентификации во время сбора учетных данных и токенов MFA.
«Широко известной уникальной особенностью FlowerStorm является ее способность к продвинутому перехвату AiTM и MFA», — говорится в отчете.
Проблемы обнаружения для защитников растут
Сочетание обфускации на основе ВМ и полезной нагрузки с поддержкой AiTM создает пробел в обнаружении для инструментов защиты электронной почты.
Sublime Security заявила, что их собственная система Autonomous Security Analyst определила атаку как вредоносную, отчасти из-за использования в HTML-вложении «сильно обфусцированного JavaScript с пользовательским байт-кодом виртуальной машины».
Исследователи также отметили, что и KrakVM, и FlowerStorm, по-видимому, работали близко к своим конфигурациям по умолчанию, что предполагает, что кампания не требовала от операторов высокой технической изощренности.
Это вызывает опасения, что методы обфускации на основе ВМ могут быстро распространиться по фишинговым экосистемам, если инструментарий станет проще в использовании, добавили в отчете.
Более широкая фишинговая экосистема развивается
Согласно отчету, кампания нацелена на такие секторы, как местные органы власти, логистика, розничная торговля, связь и недвижимость. Исследователи также обнаружили инфраструктуру, использующую домены, предназначенные для имитации систем судов, корпоративных порталов и сервисов, связанных с Microsoft.
Sublime опубликовала 153 индикатора компрометации, включая десятки субдоменов в сервисах объектного хранения в облаке в различных регионах, таких как Сингапур, Бангкок, Франкфурт, Токио, Сеул, Джакарта и Эшберн.
Исследователи также выявили закономерности именования доменов, которые пересекаются с предыдущими отчетами о FlowerStorm, включая немецкоязычные домены, составленные из английских слов для имитации названий реальных компаний.
Sophos документировала FlowerStorm в декабре 2024 года, после того как комплект появился после сбоя в работе фишингового сервиса Rockstar2FA. Исследователи заявили, что не нашли доказательств, связывающих разработчика KrakVM с операциями FlowerStorm.
Эти выводы появляются на фоне того, что команды безопасности сталкиваются с все более изощренными фишинговыми кампаниями, которые объединяют кражу учетных данных, перехват MFA, угон сеансов и методы противодействия анализу в единые цепочки атак.
«Эта кампания, вероятно, представляет собой лишь самое раннее использование возможностей обфускации KrakVM», — написали исследователи. «Мы ожидаем более сложных реализаций по мере роста ее внедрения».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
