威脅行爲者正在利用 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平台上托管的數字文檔發布 (DDP) 網站進行網絡釣魚、憑據收集和會話(huà)令牌盜竊,這再次凸顯了威脅行爲者如何重新利用合法服務出于惡意目的。
“在 DDP 網站上托管網絡釣魚誘餌會增加網絡釣魚攻擊成功的可能性,因爲這些網站通常擁有良好的聲譽,不太可能出現在 Web 過濾器阻止列表中(zhōng),并且可能會給認爲熟悉或熟悉這些網站的用戶灌輸錯誤的安全感。合法,”思科 Talos 研究員(yuán) Craig Jackson上周表示。
雖然攻擊者過去(qù)曾使用 Google Drive、OneDrive、Dropbox、SharePoint、DocuSign 和 Oneflow 等流行的雲服務來托管網絡釣魚文檔,但最新的進展标志(zhì)着旨在逃避電(diàn)子郵件安全控制的升級。
DDP 服務允許用戶以基于浏覽器的交互式翻頁書(shū)格式上傳和共享 PDF 文件,爲任何目錄、小(xiǎo)冊子或雜(zá)志(zhì)添加翻頁動畫和其他拟物(wù)效果。
我(wǒ)們發現威脅行爲者濫用這些服務提供的免費(fèi)套餐或免費(fèi)試用期來創建多個帳戶并發布惡意文檔。
除了利用其良好的域聲譽之外(wài),攻擊者還利用 DDP 站點促進臨時文件托管的事實,從而允許發布的内容在預定義的到期日期和時間後自動變得不可用。
此外(wài),Publuu 等 DDP 網站中(zhōng)内置的生(shēng)産力功能可以起到威懾作用,防止提取和檢測網絡釣魚消息中(zhōng)的惡意鏈接。
在思科 Talos 分(fēn)析的事件中(zhōng),DDP 站點在二級或中(zhōng)間階段被集成到攻擊鏈中(zhōng),通常是通過在網絡釣魚電(diàn)子郵件中(zhōng)嵌入指向合法 DDP 站點上托管的文檔的鏈接。
DDP 托管的文檔可作爲通往外(wài)部、對手控制的站點的網關,可以直接單擊誘餌文件中(zhōng)包含的鏈接,也可以通過一(yī)系列重定向(也需要 解決驗證碼來阻止自動分(fēn)析工(gōng)作)。
最終的登陸頁面是一(yī)個模仿 Microsoft 365 登錄頁面的虛假網站,從而允許攻擊者竊取憑據或會話(huà)令牌。
“DDP 網站可能成爲防禦者的盲點,因爲經過培訓的用戶不熟悉它們,并且不太可能被電(diàn)子郵件和網絡内容過濾控制标記,”傑克遜說。
“DDP 網站爲試圖阻止當代網絡釣魚防護的威脅行爲者創造了優勢。吸引合法用戶訪問這些網站的相同功能和優勢可能會被威脅行爲者濫用,以提高網絡釣魚攻擊的效率。”
轉載自安全客
上一(yī)篇:超過 15 萬個阿聯酋網絡設備和應用程序暴露在攻擊風險下(xià)
下(xià)一(yī)篇:返回列表