Nová platforma pro automatizaci phishingu s názvem Quantum Route Redirect využívá přibližně 1 000 domén k odcizení přihlašovacích údajů uživatelů Microsoft 365. Sada přichází předkonfigurovaná s phishingovými doménami, což umožňuje méně zkušeným kybernetickým útočníkům dosáhnout maximálních výsledků s minimálním úsilím.
Od srpna analytici ze společnosti KnowBe4, která se zaměřuje na bezpečnostní osvětu, zaznamenali útoky Quantum Route Redirect (QRR) v reálném prostředí napříč širokou geografickou oblastí, přičemž téměř tři čtvrtiny se nacházejí ve Spojených státech. Uvádějí, že sada „je pokročilá automatizační platforma“, která dokáže pokrýt všechny fáze phishingového útoku, od přesměrování provozu na škodlivé domény až po sledování obětí.
Jak útoky probíhají
Útoky začínají škodlivým e-mailem, který je upraven tak, aby vypadal jako žádost z DocuSign, oznámení o platbě, zmeškaná hlasová zpráva nebo QR kód.
E-maily směrují cíle na stránku pro sběr přihlašovacích údajů hostovanou na URL adrese, která následuje specifický vzor.
„Naši výzkumníci také pozorovali, že URL adresy domén konzistentně následují vzor ‚/([wd-]+.){2}[w]{,3}/quantum.php/‘ a jsou typicky hostovány na zaparkovaných nebo kompromitovaných doménách,“ vysvětluje KnowBe4.
„Volba hostování na legitimních doménách může pomoci sociálně zmanipulovat lidské cíle těchto útoků.“
KnowBe4 uvádí, že identifikovala přibližně 1 000 domén hostujících phishingové stránky QRR.
Pokročilé filtrovací mechanismy
Vestavěný filtrovací mechanismus dokáže rozlišit mezi roboty a lidskými návštěvníky, říkají výzkumníci, a dodávají, že QRR může přesměrovat potenciální oběti na phishingovou stránku, zatímco automatizované systémy, jako jsou nástroje pro zabezpečení e-mailů, jsou posílány na neškodné stránky.
Jelikož centrální systém pro směrování provozu na QRR provádí své přesměrovací úkoly automaticky, operátoři mohou sledovat související statistiky na ovládacím panelu, kde je počet skutečných versus nelidských návštěvníků zaznamenáván v reálném čase.
Globální dosah útoků
KnowBe4 pozorovala, že phishingová sada QRR cílí na účty Microsoft 365 v 90 zemích, ale 76 % útoků bylo zaměřeno na uživatele ve Spojených státech.
Výzkumníci očekávají, že využívání Quantum Route Redirect se zvýší kvůli metodám používaným k vyhýbání se technologiím pro skenování URL adres.
Podobné služby, které získaly na významu dříve v letošním roce, zahrnují VoidProxy, Darcula, Morphing Meerkat a Tycoon2FA.
Obranné metody
Existují však obranné metody, které mohou před touto hrozbou chránit.
Analytici KnowBe4 doporučují implementovat robustní filtrování URL adres, které dokáže detekovat pokusy o phishing, spolu s nástroji, které mohou monitorovat účty na známky kompromitace v případě, že jsou přihlašovací údaje uživatele odcizeny.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
