Una campanya creativa de pesca d'Office 365 va invertir les imatges utilitzades com a fons de les pàgines de destinació per evitar que els rastrejadors dissenyats per detectar llocs de pesca les marquin com a maliciosos.
Aquests fons invertits s'utilitzen habitualment com a part dels kits de pesca que intenten clonar pàgines d'inici de sessió legítimes el més a prop possible per recollir les credencials d'un objectiu enganyant-los perquè les introdueixin en un formulari d'inici de sessió fals.
Aquesta tàctica va ser utilitzada per diversos llocs de pesca de credencials d'Office 365 segons els analistes de WMC Global que van trobar que es distribuïa com a part del mateix kit de pesca creat i venut per un únic actor d'amenaça a diversos usuaris.
'A mesura que el programari de reconeixement d'imatges millora i es fa més precís, aquesta nova tècnica pretén enganyar els motors d'escaneig invertint els colors de la imatge, cosa que fa que el hash de la imatge sigui diferent de l'original', explica WMC Global. . 'Aquesta tècnica pot dificultar la capacitat del programari per marcar completament aquesta imatge'.
Versió original amb fons invertit ( PhishFeed )
CSS utilitzat per restaurar el fons
La part complicada que fa que aquest mètode d'evasió de detecció sigui viable és que les víctimes potencials notaran immediatament la imatge invertida inusual i de seguida es tornen sospitoses i probablement abandonin el lloc immediatament.
Tanmateix, per evitar-ho, el kit de pesca dissenyat per utilitzar aquesta nova tàctica restaura automàticament els fons de pantalla mitjançant Fulls d'estil en cascada (CSS) perquè semblin els fons originals de les pàgines d'inici de sessió d'Office 365. estan intentant imitar.
Els objectius redirigits a una d'aquestes pàgines de destinació de pesca veuran el fons original en lloc dels fons d'imatge invertits amb els quals publicaran els rastrejadors web.
L'ús d'aquesta tàctica permet que el kit de pesca mostri diferents versions de la mateixa pàgina de destinació de pesca a les víctimes i als motors d'anàlisi, cosa que dificulta de manera efectiva els intents dels motors d'anàlisi de detectar el lloc web en qüestió. que s'implementa com a lloc maliciós.
Codi CSS utilitzat per restaurar la imatge ( PhishFeed )
Mètode adaptat al nou fons d'Office 365
També és important recordar que aquesta tàctica de reversió d'imatges es va observar dins d'un kit de pesca de credencials d'Office 365 utilitzat activament segons Analistes globals de WMC .
'El nostre equip va examinar altres campanyes implementades per aquest actor d'amenaça i va trobar que l'individu utilitzava la mateixa tècnica inversa al nou entorn Office 365', expliquen amb més detall.
A principis d'any, una altra campanya de pesca d'Office 365 va utilitzar trucs CSS per evitar passarel·les de correu electrònic segures (SEG) invertint el text de l'HTML dels correus electrònics de pesca per omplir plantilles estadístiques. Bayesians de les passarel·les de correu electrònic.
Altres campanyes de pesca dirigides als usuaris d'Office 365 també han utilitzat tècniques innovadores com ara provar l'accés robat en temps real, abusar de Google Ads per evitar passarel·les de correu electrònic segures, així com els serveis de Google Cloud, Microsoft Azure, Microsoft Dynamics i IBM Cloud. per allotjar pàgines de destinació de pesca.
Què penses?
