Ново поколение фишинг използва UUID и динамична замяна на страници

Picture of Здравко Боджов
Здравко Боджов
Зловреден код
27 октомври 2025

Софистицирана фишинг кампания, открита от изследователи на Cofense, използва произволно генерирани универсални уникални идентификатори (UUID) и динамична замяна на съдържание, за да заобиколи Secure Email Gateways (SEG) и други периферни защити. Атаката комбинира JavaScript скрипт, избор на случаен домейн и сървърно генерирани страници, което значително повишава вероятността за успешно кражба на потребителски креденшъли.

Как работи техниката

  • Злонамереният код се вгражда в HTML прикачени файлове или се доставя чрез подправени споделени връзки в услуги като Microsoft OneDrive, SharePoint Online, DocuSign и Adobe Acrobat Sign.

  • При взаимодействие с документа скриптът се активира и на случаен принцип избира един домейн .org от девет предварително зададени адреса. Тези домейни са масово генерирани и целенасочено лишени от разпознаваеми модели на думи, за да избегнат блоклистите и автоматичните ML детектори.

  • Скриптът създава динамичен UUID, който служи за проследяване на отделния потребител, а също така използва твърдо кодиран UUID като идентификатор на самата кампания. Този двоен UUID механизъм е нетипичен и усложнява корелацията между инциденти.

  • След избора на домейн и генерирането на UUID, браузърът изпраща HTTPS POST към API на избрания сървър. Сървърът връща HTML съдържание, персонализирано спрямо контекста на жертвата — например фалшива фирмена страница за вход.

  • Най-опасната част е динамичната замяна на страница: вместо видим redirect, скриптът използва манипулация на DOM и замества съдържанието на текущата страница с подаденото от сървъра HTML. Така URL адресът остава непроменен, което затруднява разкриването на измамата и подвежда потребителя.

Защо този метод е ефективен

  • Заобикаля традиционните филтри, които търсят подозрителни URL пренасочвания.

  • Персонализацията на страниците (по домейн, фирмен бранд или дори по въведен имейл домейн) повишава доверието и процента на успешно въвеждане на креденшъли.

  • Краткотрайни домейни и случайни имена усложняват автоматичното блокиране и правят елементарните блоклистове по-малко ефективни.

  • Двойният UUID улеснява проследяването и управлението на кампаниите от страна на нападателите и усложнява корелацията между атаки от отговорните екипи за сигурност.

Индикатори за компрометиране и разследване (IOCs / TTPs)

  • Прикачени HTML файлове или връзки, идващи от OneDrive/SharePoint/DocuSign/Adobe и съдържащи embedded JavaScript.

  • Неочаквани POST заявки от браузъри към неизвестни .org домейни след отваряне на документ.

  • Наличие на динамично сменено съдържание, без видим URL redirect — проверете DOM логовете и историята на зареждане в браузъра.

  • Необичайни параметри UUID в POST тела или в URL параметри, както и твърдо кодиран UUID като кампания-идентификатор.

  • Сървърни отговори, които връщат готови HTML страници (често с фирмен дизайн), генерирани въз основа на подаден имейл домейн или други метаданни.

Препоръчани мерки за защита и намаляване на риска

Технически и организационни контроли, които значително намаляват експозицията:

  1. Ограничаване и обезопасяване на HTML прикачени файлове

    • Блокирайте или карайте да се сканират HTML прикачвания; разрешавайте само PDF или конвертирани версии без активен JavaScript.

  2. Link protection и URL re-writing

    • SEG/Email security да реорганизират и проверяват всички външни връзки; използвайте безопасен sandbox при отваряне.

  3. Браузърна сегрегация и изолация

    • Използвайте браузърна изолация за отваряне на непотвърдени документи/връзки, за да предотвратите DOM манипулации и нежелани POST заявки от клиентски контекст.

  4. Блокиране/мониторинг на неочаквани POST заявки

    • Налагайте правилa на WAF и IDS/IPS за необичайни POST модели от браузъри и логвайте нестандартни домейни и UUID параметри.

  5. MFA и защита на креденшълите

    • Задължителна многофакторна идентификация за корпоративни системи; използване на FIDO2-ключове където е възможно.

  6. Контроли за Content Security Policy (CSP)

    • Ограничете възможността за вграждане на отдалечени скриптове и динамично зареждане на HTML от непозволени домейни.

  7. Сигурно обработване на споделени платформи

    • Поставете правила за допустими доставчици на документи и ограничете автоматичното рендиране на вградени HTML/JS.

  8. EDR, логване и корелация

    • Инструменти за откриване на аномалии да следят за DOM манипулации, необичайни POST/HTTPS връзки и UUID модели.

  9. Обучение и симулации

    • Фокусирани сценарии за тренировки, при които служителите разпознават съмнителни файлове, необичайно поведение в браузъра и сигнализират незабавно.

  10. Политики за приемане на външни документи

    • Въвеждане на runbooks за инциденти, които включват анализ на DOM, хранилища на прикачени файлове и бърза изолация на засегнати крайни точки.

Тази кампания демонстрира, че съвременните фишинг операции вече не разчитат единствено на имейл съдържание и статични URL пренасочвания. Чрез динамична сървърно-управлявана персонализация, UUID-базирано проследяване и DOM манипулации, нападателите създават по-убедителни и по-трудно откриваеми нападения. Защитата изисква комбиниран подход — технически контроли на периферията и в браузъра, строгите политики за обработка на документи и постоянни потребителски обучения.

#Cofense, # DocuSign, # DOM манипулация, # OneDrive, # Secure Email Gateway, # SharePoint, # UUID, # динамична страница, # кражба на креденшъли, # фишинг
e-security.bg

Подобни

Landfall засяга устройства Samsung Galaxy
11.11.2025
spyware
Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Google и ФБР предупреждават за мащабна и глобална киберизмама
5.11.2025
cybercrime-3528223_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.