威胁行为者正在利用 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平台上托管的数字文档发布 (DDP) 网站进行网络钓鱼、凭据收集和会话令牌盗窃,这再次凸显了威胁行为者如何重新利用合法服务出于恶意目的。
“在 DDP 网站上托管网络钓鱼诱饵会增加网络钓鱼攻击成功的可能性,因为这些网站通常拥有良好的声誉,不太可能出现在 Web 过滤器阻止列表中,并且可能会给认为熟悉或熟悉这些网站的用户灌输错误的安全感。合法,”思科 Talos 研究员 Craig Jackson上周表示。
虽然攻击者过去曾使用 Google Drive、OneDrive、Dropbox、SharePoint、DocuSign 和 Oneflow 等流行的云服务来托管网络钓鱼文档,但最新的进展标志着旨在逃避电子邮件安全控制的升级。
DDP 服务允许用户以基于浏览器的交互式翻页书格式上传和共享 PDF 文件,为任何目录、小册子或杂志添加翻页动画和其他拟物效果。
我们发现威胁行为者滥用这些服务提供的免费套餐或免费试用期来创建多个帐户并发布恶意文档。
除了利用其良好的域声誉之外,攻击者还利用 DDP 站点促进临时文件托管的事实,从而允许发布的内容在预定义的到期日期和时间后自动变得不可用。
此外,Publuu 等 DDP 网站中内置的生产力功能可以起到威慑作用,防止提取和检测网络钓鱼消息中的恶意链接。
在思科 Talos 分析的事件中,DDP 站点在二级或中间阶段被集成到攻击链中,通常是通过在网络钓鱼电子邮件中嵌入指向合法 DDP 站点上托管的文档的链接。
DDP 托管的文档可作为通往外部、对手控制的站点的网关,可以直接单击诱饵文件中包含的链接,也可以通过一系列重定向(也需要 解决验证码来阻止自动分析工作)。
最终的登陆页面是一个模仿 Microsoft 365 登录页面的虚假网站,从而允许攻击者窃取凭据或会话令牌。
“DDP 网站可能成为防御者的盲点,因为经过培训的用户不熟悉它们,并且不太可能被电子邮件和网络内容过滤控制标记,”杰克逊说。
“DDP 网站为试图阻止当代网络钓鱼防护的威胁行为者创造了优势。吸引合法用户访问这些网站的相同功能和优势可能会被威胁行为者滥用,以提高网络钓鱼攻击的效率。”
发表评论
您还未登录,请先登录。
登录