Както защитените имейл шлюзове, така и крайните потребители биват заблуждавани от кампания за кибератаки, която се радва на неимоверно нарастване на обема на атаките срещу фирми от всяка индустрия в световен мащаб.

Кампания за събиране на удостоверения с голям обем използва легитимна програма за изпращане на бюлетини по електронна поща на име SuperMailer, за да разпраща значителен брой фишинг имейли, предназначени да заобиколят защитите на защитения имейл портал (SEG).

Според доклад на Cofense от 23 май кампанията се е разраснала дотолкова, че създадените от SuperMailer имейли представляват значителен дял от 5 % от всички фишове с удостоверения в телеметрията на фирмата през месец май досега. Заплахата изглежда нараства експоненциално: Месечният обем на дейността като цяло се е увеличил повече от два пъти през три от последните четири месеца – забележително дори в среда, в която фишингът на идентификационни данни нараства като цяло.

„Комбинирайки функциите за персонализиране и възможностите за изпращане на SuperMailer с тактики за избягване на заплахи, участниците в кампанията са доставили персонализирани, легитимно изглеждащи имейли до пощенските кутии във всяка индустрия“, обясни Брад Хаас, анализатор на разузнаването на киберзаплахи в Cofense и автор на изследването.

И наистина, Cofense съобщава, че заплахите, които стоят зад тази дейност, са хвърлили широка мрежа, надявайки се да привлекат жертви в разнообразни индустрии, включително строителство, потребителски стоки, енергетика, финансови услуги, хранителни услуги, правителство, здравеопазване, информация и анализи, застраховане, производство, медии, минно дело, професионални услуги, търговия на дребно, технологии, транспорт и комунални услуги.

Суперголям фишинг със SuperMailer

Това, което прави цифрите още по-интересни, е фактът, че SuperMailer е донякъде неясен продукт за бюлетини, базиран в Германия, който далеч не се доближава до мащаба на по-известните генератори на имейли като ExpertSender или SendGrid, казва Хас пред Dark Reading – но въпреки това стои зад големи количества злонамерени имейли.

„SuperMailer е десктоп софтуер, който може да бъде изтеглен безплатно или срещу символична такса от редица сайтове, които може да са напълно несвързани с разработчика“, казва той. „Безплатна версия на SuperMailer беше пусната в CNET през 2019 г. и оттогава има приблизително 1700 изтегляния. Този брой е нисък в сравнение с много популярни изтегляния на софтуер, но не разполагаме с друга информация за броя на легитимните организационни потребители.“

SuperMailer не е отговорил веднага на молбата на Dark Reading за коментар. Но тъй като клиентите се разпространяват чрез уебсайтове на трети страни и нямат сървърен или облачен компонент, Хаас отбелязва, че метафоричните ръце на SuperMailer са вързани, когато става въпрос за изкореняване на дейността.

„В миналото сме виждали големи, базирани на облак услуги, които са злоупотребявали с изпращането на фишинг имейли или са създавали уникални URL пренасочвания, сочещи към фишинг страници, но тези услуги често улавят и се борят с дейността след определен период от време“, казва той. „Не знаем до каква степен разработчикът на SuperMailer е в състояние да се бори с тази злоупотреба.“

Това само по себе си прави SuperMailer привлекателен за киберпрестъпниците. Но другата причина е, че той предлага привлекателна маскировка за преминаване през SEG и в крайна сметка през крайните потребители, благодарение на някои уникални функции.

Лесно заобикаляне на сигурността на електронната поща

„Това е още един пример за злоупотреба на  заплахи с инструменти, които са създадени за легитимни цели“, отбелязва Хаас, като добавя, че функциите, които легитимните потребители намират за полезни, ще се харесат и на измамниците. „Това вече се случва в сферата на тестовете за проникване, където инструментите за тестване на проникване с отворен код редовно се използват от хакерите за извършване на действителна дейност, свързана със заплахи“, казва той.

В този случай SuperMailer предлага съвместимост с няколко системи за електронна поща, което позволява на  заплахите да разпределят операциите си по изпращане в няколко услуги – това намалява риска SEG или upstream имейл сървър да класифицира имейлите като нежелани поради репутацията.

„Хакерите вероятно имат достъп до различни компрометирани акаунти и използват функциите за изпращане на SuperMailer, за да ги въртят“, пише Хаас в доклада си.

Генерираните от SuperMailer кампании се възползват и от функциите за персонализиране на шаблони, като например възможността за автоматично попълване на името на получателя, електронната поща, името на организацията, веригите за отговор на имейла и други – всичко това повишава легитимността на имейла за целите.

Софтуерът също така не маркира отворени пренасочвания – легитимни уеб страници, които автоматично пренасочват към всеки URL адрес, включен като параметър. Това позволява на лошите играчи да използват напълно легитимни URL адреси като връзки на първия етап на фишинга.

„Ако SEG не проследи пренасочването, той ще провери само съдържанието или репутацията на легитимния уебсайт“, казва Хаас в доклада. „Въпреки че отворените пренасочвания обикновено се считат за слабост, те често могат да бъдат открити дори на сайтове с висок профил. Например кампаниите, които анализирахме, използваха отворено пренасочване в YouTube“.

Защита срещу заплахата SuperMailer

Cofense е успяла да проследи дейността на SuperMailer благодарение на грешка в кодирането, която нападателите са допуснали при изготвянето на шаблоните на имейли: Всички имейли са включвали уникален низ, показващ, че са създадени от SuperMailer. Въпреки това анализът на съобщенията за този низ или по-общо блокирането на цели легитимни пощенски услуги не е решение.

„Все още не сме открили никакви характеристики по подразбиране, които биха ни позволили широко да блокираме имейли, генерирани от SuperMailer“, казва Хаас. „В този случай разпознаваемите характеристики бяха открити само поради грешка от страна на извършителя на заплахата. Без тази грешка това не би било възможно, тъй като тези характеристики не са видими във всяко електронно писмо от SuperMailer.“

Той обаче отбелязва, че има и други характеристики, които биха идентифицирали имейлите като потенциални заплахи за сигурността, дори без да се знае техният произход – включително съдържанието им. Пример за това са веригите от отговори на имейли, които не са специфични за целта и са приложени към съобщенията.

Това е особено важно, като се има предвид, че Cofense е открила, че SuperMailer фишингите са част от по-голям набор от дейности, които са съставлявали цели 14% от фишинг имейлите, попаднали в пощенските кутии през май в телеметрията на Cofense. Хаас обясни, че всички имейли – изпратените от SuperMailer и останалите – споделят определени показатели, които ги свързват, като например използването на случайни URL адреси.

„Човешката интуиция често е много по-добра в разпознаването на тези разлики“, казва Хаас, „така че обучението на служителите да бъдат бдителни срещу фишинг заплахи е критичен елемент от добрата киберзащита.“