Заплахите използват сайтове за публикуване на цифрови документи (DDP), хоствани на платформи като FlipSnack, Issuu, Marq, Publuu, RelayTo и Simplebooklet, за да извършват фишинг, събиране на данни за удостоверения и кражба на токени на сесии, като отново подчертават как лошите използват легитимни услуги за злонамерени цели.

„Разполагането на фишинг примамки в DDP сайтове увеличава вероятността за успешна фишинг атака, тъй като тези сайтове често имат благоприятна репутация, малко вероятно е да се появят в списъците за блокиране на уеб филтри и могат да създадат фалшиво чувство за сигурност у потребителите, които ги разпознават като познати или легитимни“, заяви миналата седмица изследователят от Cisco Talos Крейг Джаксън.

Макар че в миналото противниците са използвали популярни облачни услуги като Google Drive, OneDrive, Dropbox, SharePoint, DocuSign и Oneflow, за да хостват фишинг документи, последното развитие бележи ескалация, целяща заобикаляне на контрола за сигурност на електронната поща.

Услугите на DDP позволяват на потребителите да качват и споделят PDF файлове във формат на интерактивна флипбук книга, базирана на браузър, като добавят анимации за обръщане на страници и други скейморфни ефекти към всеки каталог, брошура или списание.

Установено е, че  заплахите злоупотребяват с безплатното ниво или безплатния пробен период, предлагани от тези услуги, за да създават множество акаунти и да публикуват злонамерени документи.

Освен че се възползват от благоприятната репутация на домейна им, нападателите се възползват от факта, че DDP сайтовете улесняват преходния хостинг на файлове, като по този начин позволяват публикуваното съдържание автоматично да стане недостъпно след предварително определена дата и време на изтичане.

Нещо повече, функциите за продуктивност, вградени в DDP сайтове като Publuu, биха могли да действат като възпиращ фактор, предотвратявайки извличането и откриването на злонамерени връзки във фишинг съобщения.

При инцидентите, анализирани от Cisco Talos, DDP сайтовете са интегрирани във веригата на атаката на вторичен или междинен етап, обикновено чрез вграждане на връзка към документ, хостван на легитимен DDP сайт, във фишинг имейл.

Документът, хостван в DDP, служи като портал към външен, контролиран от противника сайт или директно чрез кликване върху връзка, включена в примамката, или чрез серия от пренасочвания, които изискват и решаване на CAPTCHA, за да се осуетят усилията за автоматичен анализ.

Крайната целева страница е фалшив сайт, имитиращ страницата за вход в Microsoft 365, като по този начин позволява на нападателите да откраднат идентификационни данни или токени за сесии.

„DDP сайтовете биха могли да представляват сляпа точка за защитниците, тъй като са непознати за обучените потребители и е малко вероятно да бъдат маркирани от контролите за филтриране на електронна поща и уеб съдържание“, казва Джаксън.

„DDP сайтовете създават предимства за участниците в заплахите, които се стремят да осуетят съвременните фишинг защити. Същите функции и предимства, които привличат легитимните потребители към тези сайтове, могат да бъдат използвани от участниците в заплахите за повишаване на ефективността на фишинг атаката.“