Търсене
Close this search box.

Злоупотреба със SuperMailer заобикаля сигурността на електронната поща

Както защитените имейл шлюзове, така и крайните потребители биват заблуждавани от кампания за кибератаки, която се радва на неимоверно нарастване на обема на атаките срещу фирми от всяка индустрия в световен мащаб.

Кампания за събиране на удостоверения с голям обем използва легитимна програма за изпращане на бюлетини по електронна поща на име SuperMailer, за да разпраща значителен брой фишинг имейли, предназначени да заобиколят защитите на защитения имейл портал (SEG).

Според доклад на Cofense от 23 май кампанията се е разраснала дотолкова, че създадените от SuperMailer имейли представляват значителен дял от 5 % от всички фишове с удостоверения в телеметрията на фирмата през месец май досега. Заплахата изглежда нараства експоненциално: Месечният обем на дейността като цяло се е увеличил повече от два пъти през три от последните четири месеца – забележително дори в среда, в която фишингът на идентификационни данни нараства като цяло.

„Комбинирайки функциите за персонализиране и възможностите за изпращане на SuperMailer с тактики за избягване на заплахи, участниците в кампанията са доставили персонализирани, легитимно изглеждащи имейли до пощенските кутии във всяка индустрия“, обясни Брад Хаас, анализатор на разузнаването на киберзаплахи в Cofense и автор на изследването.

И наистина, Cofense съобщава, че заплахите, които стоят зад тази дейност, са хвърлили широка мрежа, надявайки се да привлекат жертви в разнообразни индустрии, включително строителство, потребителски стоки, енергетика, финансови услуги, хранителни услуги, правителство, здравеопазване, информация и анализи, застраховане, производство, медии, минно дело, професионални услуги, търговия на дребно, технологии, транспорт и комунални услуги.

Суперголям фишинг със SuperMailer

Това, което прави цифрите още по-интересни, е фактът, че SuperMailer е донякъде неясен продукт за бюлетини, базиран в Германия, който далеч не се доближава до мащаба на по-известните генератори на имейли като ExpertSender или SendGrid, казва Хас пред Dark Reading – но въпреки това стои зад големи количества злонамерени имейли.

„SuperMailer е десктоп софтуер, който може да бъде изтеглен безплатно или срещу символична такса от редица сайтове, които може да са напълно несвързани с разработчика“, казва той. „Безплатна версия на SuperMailer беше пусната в CNET през 2019 г. и оттогава има приблизително 1700 изтегляния. Този брой е нисък в сравнение с много популярни изтегляния на софтуер, но не разполагаме с друга информация за броя на легитимните организационни потребители.“

SuperMailer не е отговорил веднага на молбата на Dark Reading за коментар. Но тъй като клиентите се разпространяват чрез уебсайтове на трети страни и нямат сървърен или облачен компонент, Хаас отбелязва, че метафоричните ръце на SuperMailer са вързани, когато става въпрос за изкореняване на дейността.

„В миналото сме виждали големи, базирани на облак услуги, които са злоупотребявали с изпращането на фишинг имейли или са създавали уникални URL пренасочвания, сочещи към фишинг страници, но тези услуги често улавят и се борят с дейността след определен период от време“, казва той. „Не знаем до каква степен разработчикът на SuperMailer е в състояние да се бори с тази злоупотреба.“

Това само по себе си прави SuperMailer привлекателен за киберпрестъпниците. Но другата причина е, че той предлага привлекателна маскировка за преминаване през SEG и в крайна сметка през крайните потребители, благодарение на някои уникални функции.

Лесно заобикаляне на сигурността на електронната поща

„Това е още един пример за злоупотреба на  заплахи с инструменти, които са създадени за легитимни цели“, отбелязва Хаас, като добавя, че функциите, които легитимните потребители намират за полезни, ще се харесат и на измамниците. „Това вече се случва в сферата на тестовете за проникване, където инструментите за тестване на проникване с отворен код редовно се използват от хакерите за извършване на действителна дейност, свързана със заплахи“, казва той.

В този случай SuperMailer предлага съвместимост с няколко системи за електронна поща, което позволява на  заплахите да разпределят операциите си по изпращане в няколко услуги – това намалява риска SEG или upstream имейл сървър да класифицира имейлите като нежелани поради репутацията.

„Хакерите вероятно имат достъп до различни компрометирани акаунти и използват функциите за изпращане на SuperMailer, за да ги въртят“, пише Хаас в доклада си.

Генерираните от SuperMailer кампании се възползват и от функциите за персонализиране на шаблони, като например възможността за автоматично попълване на името на получателя, електронната поща, името на организацията, веригите за отговор на имейла и други – всичко това повишава легитимността на имейла за целите.

Софтуерът също така не маркира отворени пренасочвания – легитимни уеб страници, които автоматично пренасочват към всеки URL адрес, включен като параметър. Това позволява на лошите играчи да използват напълно легитимни URL адреси като връзки на първия етап на фишинга.

„Ако SEG не проследи пренасочването, той ще провери само съдържанието или репутацията на легитимния уебсайт“, казва Хаас в доклада. „Въпреки че отворените пренасочвания обикновено се считат за слабост, те често могат да бъдат открити дори на сайтове с висок профил. Например кампаниите, които анализирахме, използваха отворено пренасочване в YouTube“.

Защита срещу заплахата SuperMailer

Cofense е успяла да проследи дейността на SuperMailer благодарение на грешка в кодирането, която нападателите са допуснали при изготвянето на шаблоните на имейли: Всички имейли са включвали уникален низ, показващ, че са създадени от SuperMailer. Въпреки това анализът на съобщенията за този низ или по-общо блокирането на цели легитимни пощенски услуги не е решение.

„Все още не сме открили никакви характеристики по подразбиране, които биха ни позволили широко да блокираме имейли, генерирани от SuperMailer“, казва Хаас. „В този случай разпознаваемите характеристики бяха открити само поради грешка от страна на извършителя на заплахата. Без тази грешка това не би било възможно, тъй като тези характеристики не са видими във всяко електронно писмо от SuperMailer.“

Той обаче отбелязва, че има и други характеристики, които биха идентифицирали имейлите като потенциални заплахи за сигурността, дори без да се знае техният произход – включително съдържанието им. Пример за това са веригите от отговори на имейли, които не са специфични за целта и са приложени към съобщенията.

Това е особено важно, като се има предвид, че Cofense е открила, че SuperMailer фишингите са част от по-голям набор от дейности, които са съставлявали цели 14% от фишинг имейлите, попаднали в пощенските кутии през май в телеметрията на Cofense. Хаас обясни, че всички имейли – изпратените от SuperMailer и останалите – споделят определени показатели, които ги свързват, като например използването на случайни URL адреси.

„Човешката интуиция често е много по-добра в разпознаването на тези разлики“, казва Хаас, „така че обучението на служителите да бъдат бдителни срещу фишинг заплахи е критичен елемент от добрата киберзащита.“

Източник: DARKReading

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

SubdoMailing - развива се а...

Мащабна кампания за рекламни измами, наречена...
15/02/2024

Увеличават се атаките с QR ...

През последното тримесечие броят на имейл...
14/02/2024

Deepfake демокрация: Технол...

Неотдавнашните събития, включително генерираното от изкуствен...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!