Злоумышленники обходят обнаружение фишинга в кампаниях, нацеленных на учетные записи Microsoft, используя платформу для создания приложений без кода Bubble для генерации и размещения вредоносных веб-приложений.
Поскольку веб-приложение размещено на легитимной платформе, решения для обеспечения безопасности электронной почты не помечают ссылку как потенциальную угрозу, позволяя пользователям получить доступ к странице.
Исследователи безопасности из «Лаборатории Касперского» сообщают, что злоумышленники используют новый метод для перенаправления пользователей на настоящую фишинговую страницу, которая часто имитирует портал входа Microsoft и иногда скрыта за проверкой Cloudflare.
Любые учетные данные, введенные на этих поддельных веб-страницах, перехватываются фишинговым актором, который затем может использовать их для доступа к электронной почте, календарю и другим конфиденциальным данным, связанным с учетными записями Microsoft 365.
Bubble — это платформа на базе ИИ, не требующая написания кода, где пользователи описывают желаемое приложение, а затем платформа автоматически генерирует серверную логику и клиентскую часть.
Полученные приложения размещаются в инфраструктуре Bubble под доменом *.bubble.io, который является доверенным доменом, вряд ли вызывающим предупреждения безопасности от решений для защиты электронной почты.
Фишинговые акторы используют это, создавая приложения Bubble, состоящие из больших, сложных пакетов JavaScript и структур с интенсивным использованием Shadow DOM, которые не помечаются как скрипты перенаправления или классифицируются как вредоносные статическими и автоматизированными инструментами анализа.
«Код, генерируемый этой платформой без кода, представляет собой огромную мешанину из JavaScript и изолированных структур Shadow DOM (Document Object Model)», — объясняют в «Лаборатории Касперского».
«Даже эксперту трудно понять, что происходит с первого взгляда; приходится действительно вникать, чтобы понять, как все это работает и какова цель».
«Алгоритмы автоматического анализа веб-кода с еще большей вероятностью будут сбиты с толку, часто приходя к выводу, что это просто функциональный, полезный сайт».
Исследователи предупреждают, что тактика злоупотребления конструкторами приложений на базе ИИ для уклонения от обнаружения в фишинговых кампаниях, вероятно, будет принята платформами Phishing-as-a-Service (PhaaS) и интегрирована в фишинговые наборы, широко используемые киберпреступниками низшего звена.
Эти платформы уже предоставляют кражу сессионных cookie-файлов, уровни adversary-in-the-middle (AiTM), обходящие двухфакторную аутентификацию (2FA), геозонирование, трюки против анализа и контент электронной почты, сгенерированный ИИ, поэтому злоупотребление легитимными платформами лишь повысит скрытность этих атак.
BleepingComputer обратился к Bubble за комментариями относительно выводов «Лаборатории Касперского» и планов по усилению мер защиты от злоупотреблений, но на момент публикации ответ получен не был.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
