Злоупотреба със SuperMailer заобикаля сигурността на електронната поща

Picture of e-security.bg
e-security.bg
Aрхив | Уязвимости
25 май 2023

Както защитените имейл шлюзове, така и крайните потребители биват заблуждавани от кампания за кибератаки, която се радва на неимоверно нарастване на обема на атаките срещу фирми от всяка индустрия в световен мащаб.

Кампания за събиране на удостоверения с голям обем използва легитимна програма за изпращане на бюлетини по електронна поща на име SuperMailer, за да разпраща значителен брой фишинг имейли, предназначени да заобиколят защитите на защитения имейл портал (SEG).

Според доклад на Cofense от 23 май кампанията се е разраснала дотолкова, че създадените от SuperMailer имейли представляват значителен дял от 5 % от всички фишове с удостоверения в телеметрията на фирмата през месец май досега. Заплахата изглежда нараства експоненциално: Месечният обем на дейността като цяло се е увеличил повече от два пъти през три от последните четири месеца – забележително дори в среда, в която фишингът на идентификационни данни нараства като цяло.

„Комбинирайки функциите за персонализиране и възможностите за изпращане на SuperMailer с тактики за избягване на заплахи, участниците в кампанията са доставили персонализирани, легитимно изглеждащи имейли до пощенските кутии във всяка индустрия“, обясни Брад Хаас, анализатор на разузнаването на киберзаплахи в Cofense и автор на изследването.

И наистина, Cofense съобщава, че заплахите, които стоят зад тази дейност, са хвърлили широка мрежа, надявайки се да привлекат жертви в разнообразни индустрии, включително строителство, потребителски стоки, енергетика, финансови услуги, хранителни услуги, правителство, здравеопазване, информация и анализи, застраховане, производство, медии, минно дело, професионални услуги, търговия на дребно, технологии, транспорт и комунални услуги.

Суперголям фишинг със SuperMailer

Това, което прави цифрите още по-интересни, е фактът, че SuperMailer е донякъде неясен продукт за бюлетини, базиран в Германия, който далеч не се доближава до мащаба на по-известните генератори на имейли като ExpertSender или SendGrid, казва Хас пред Dark Reading – но въпреки това стои зад големи количества злонамерени имейли.

„SuperMailer е десктоп софтуер, който може да бъде изтеглен безплатно или срещу символична такса от редица сайтове, които може да са напълно несвързани с разработчика“, казва той. „Безплатна версия на SuperMailer беше пусната в CNET през 2019 г. и оттогава има приблизително 1700 изтегляния. Този брой е нисък в сравнение с много популярни изтегляния на софтуер, но не разполагаме с друга информация за броя на легитимните организационни потребители.“

SuperMailer не е отговорил веднага на молбата на Dark Reading за коментар. Но тъй като клиентите се разпространяват чрез уебсайтове на трети страни и нямат сървърен или облачен компонент, Хаас отбелязва, че метафоричните ръце на SuperMailer са вързани, когато става въпрос за изкореняване на дейността.

„В миналото сме виждали големи, базирани на облак услуги, които са злоупотребявали с изпращането на фишинг имейли или са създавали уникални URL пренасочвания, сочещи към фишинг страници, но тези услуги често улавят и се борят с дейността след определен период от време“, казва той. „Не знаем до каква степен разработчикът на SuperMailer е в състояние да се бори с тази злоупотреба.“

Това само по себе си прави SuperMailer привлекателен за киберпрестъпниците. Но другата причина е, че той предлага привлекателна маскировка за преминаване през SEG и в крайна сметка през крайните потребители, благодарение на някои уникални функции.

Лесно заобикаляне на сигурността на електронната поща

„Това е още един пример за злоупотреба на  заплахи с инструменти, които са създадени за легитимни цели“, отбелязва Хаас, като добавя, че функциите, които легитимните потребители намират за полезни, ще се харесат и на измамниците. „Това вече се случва в сферата на тестовете за проникване, където инструментите за тестване на проникване с отворен код редовно се използват от хакерите за извършване на действителна дейност, свързана със заплахи“, казва той.

В този случай SuperMailer предлага съвместимост с няколко системи за електронна поща, което позволява на  заплахите да разпределят операциите си по изпращане в няколко услуги – това намалява риска SEG или upstream имейл сървър да класифицира имейлите като нежелани поради репутацията.

„Хакерите вероятно имат достъп до различни компрометирани акаунти и използват функциите за изпращане на SuperMailer, за да ги въртят“, пише Хаас в доклада си.

Генерираните от SuperMailer кампании се възползват и от функциите за персонализиране на шаблони, като например възможността за автоматично попълване на името на получателя, електронната поща, името на организацията, веригите за отговор на имейла и други – всичко това повишава легитимността на имейла за целите.

Софтуерът също така не маркира отворени пренасочвания – легитимни уеб страници, които автоматично пренасочват към всеки URL адрес, включен като параметър. Това позволява на лошите играчи да използват напълно легитимни URL адреси като връзки на първия етап на фишинга.

„Ако SEG не проследи пренасочването, той ще провери само съдържанието или репутацията на легитимния уебсайт“, казва Хаас в доклада. „Въпреки че отворените пренасочвания обикновено се считат за слабост, те често могат да бъдат открити дори на сайтове с висок профил. Например кампаниите, които анализирахме, използваха отворено пренасочване в YouTube“.

Защита срещу заплахата SuperMailer

Cofense е успяла да проследи дейността на SuperMailer благодарение на грешка в кодирането, която нападателите са допуснали при изготвянето на шаблоните на имейли: Всички имейли са включвали уникален низ, показващ, че са създадени от SuperMailer. Въпреки това анализът на съобщенията за този низ или по-общо блокирането на цели легитимни пощенски услуги не е решение.

„Все още не сме открили никакви характеристики по подразбиране, които биха ни позволили широко да блокираме имейли, генерирани от SuperMailer“, казва Хаас. „В този случай разпознаваемите характеристики бяха открити само поради грешка от страна на извършителя на заплахата. Без тази грешка това не би било възможно, тъй като тези характеристики не са видими във всяко електронно писмо от SuperMailer.“

Той обаче отбелязва, че има и други характеристики, които биха идентифицирали имейлите като потенциални заплахи за сигурността, дори без да се знае техният произход – включително съдържанието им. Пример за това са веригите от отговори на имейли, които не са специфични за целта и са приложени към съобщенията.

Това е особено важно, като се има предвид, че Cofense е открила, че SuperMailer фишингите са част от по-голям набор от дейности, които са съставлявали цели 14% от фишинг имейлите, попаднали в пощенските кутии през май в телеметрията на Cofense. Хаас обясни, че всички имейли – изпратените от SuperMailer и останалите – споделят определени показатели, които ги свързват, като например използването на случайни URL адреси.

„Човешката интуиция често е много по-добра в разпознаването на тези разлики“, казва Хаас, „така че обучението на служителите да бъдат бдителни срещу фишинг заплахи е критичен елемент от добрата киберзащита.“

#фишинг
DARKReading

Подобни

Три критични уязвимости в runc застрашават изолацията на контейнери
11.11.2025
Stop - Ransomware - neon colors1
Критична уязвимост в Monsta FTP
11.11.2025
cybersecurity1
Уязвимости в Claude позволяват на злонамерени сайтове да стартират малуер
7.11.2025
claude anthropic
Проблем с актуализация на Windows може да задейства BitLocker Recovery режим
6.11.2025
windows-6281710_1280
CVE-2025-9491 в Windows се ползва за атаки срещу дипломати
4.11.2025
Windows-10
Критична уязвимост в Chromium браузърите
31.10.2025
browser-773215_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.