Ένα κιτ ηλεκτρονικού ψαρέματος πολλαπλών σταδίων που χρησιμοποιεί το Telegram για τη συλλογή διαπιστευτηρίων και την παράκαμψη της αυτοματοποιημένης ανίχνευσης

Οι επιθέσεις phishing εξακολουθούν να είναι μια από τις πιο επίμονες απειλές που στοχεύουν οργανισμούς παγκοσμίως.

Οι εγκληματίες του κυβερνοχώρου βελτιώνουν συνεχώς τις μεθόδους τους για την κλοπή ευαίσθητων πληροφοριών και ένα κιτ ηλεκτρονικού ψαρέματος που ανακαλύφθηκε πρόσφατα δείχνει πόσο προηγμένες έχουν γίνει αυτές οι λειτουργίες.

Αυτό το συγκεκριμένο πλαίσιο σχεδιάστηκε για να υποδύεται τον ιταλικό πάροχο υπηρεσιών πληροφορικής και web Aruba SpA, μια εταιρεία που εξυπηρετεί πάνω από 5,4 εκατομμύρια πελάτες σε όλη την ψηφιακή υποδομή της Ιταλίας.

Στοχεύοντας έναν τέτοιο ευρέως αξιόπιστο πάροχο υπηρεσιών, οι εισβολείς θα μπορούσαν να αποκτήσουν πρόσβαση σε κρίσιμα επιχειρηματικά περιουσιακά στοιχεία, συμπεριλαμβανομένων των φιλοξενούμενων ιστότοπων, των στοιχείων ελέγχου τομέα και των συστημάτων ηλεκτρονικού ταχυδρομείου.

Η εκστρατεία ηλεκτρονικού ψαρέματος ξεκινά με μηνύματα ηλεκτρονικού “ψαρέματος” που δημιουργούν επείγοντα χαρακτήρα προειδοποιώντας τα θύματα για υπηρεσίες που λήγουν ή αποτυχημένες πληρωμές.

Αυτά τα μηνύματα περιέχουν συνδέσμους προς ψεύτικες σελίδες σύνδεσης που μιμούνται στενά την επίσημη πύλη webmail του Aruba.it.

Αυτό που κάνει αυτή την επίθεση ιδιαίτερα έξυπνη είναι η χρήση προσυμπληρωμένων διευθύνσεων URL σύνδεσης που συμπληρώνουν αυτόματα τη διεύθυνση email του θύματος στη φόρμα σύνδεσης.

Αυτή η μικρή λεπτομέρεια προσθέτει ένα επίπεδο αυθεντικότητας που κάνει τους στόχους λιγότερο ύποπτους και πιο πιθανό να εισαγάγουν τους κωδικούς πρόσβασής τους.

Ερευνητές ασφάλειας Group-IB αναγνωρισθείς αυτό το εξελιγμένο πλαίσιο phishing μέσω της συνεχούς παρακολούθησης των υπόγειων εγκληματικών οικοσυστημάτων.

Το κιτ αντιπροσωπεύει κάτι περισσότερο από μια απλή ψεύτικη ιστοσελίδα. Λειτουργεί ως μια πλήρης, αυτοματοποιημένη πλατφόρμα κατασκευασμένη για αποτελεσματικότητα και μυστικότητα, χρησιμοποιώντας πολλαπλές τεχνικές για να αποφύγει τον εντοπισμό και να μεγιστοποιήσει την κλοπή διαπιστευτηρίων.

Σε αντίθεση με τις βασικές απόπειρες phishing, αυτό το σύστημα χρησιμοποιεί φιλτράρισμα CAPTCHA για να μπλοκάρει τους σαρωτές ασφαλείας και τα ρομπότ Telegram για να στείλει κλεμμένα δεδομένα στους εισβολείς αμέσως.

Διαδικασία συγκομιδής διαπιστευτηρίων πολλαπλών σταδίων

Η επίθεση εκτυλίσσεται μέσα από τέσσερα προσεκτικά σχεδιασμένα στάδια που εξάγουν συστηματικά διαπιστευτήρια και οικονομικές πληροφορίες.

Πρώτον, τα θύματα αντιμετωπίζουν μια πρόκληση CAPTCHA που χρησιμεύει ως φίλτρο anti-bot, διασφαλίζοντας ότι μόνο ανθρώπινοι στόχοι προχωρούν στις πραγματικές σελίδες ηλεκτρονικού “ψαρέματος” (phishing).

Αφού περάσουν αυτόν τον έλεγχο, τα θύματα προσγειώνονται σε ένα πειστικό αντίγραφο της σελίδας σύνδεσης της Αρούμπα, όπου εισάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους, τα οποία αποστέλλονται αμέσως στον εισβολέα.

Η διαδικασία συνεχίζεται με μια ψεύτικη σελίδα πληρωμής που ζητά στοιχεία πιστωτικής κάρτας έναντι μικρής χρέωσης, συνήθως περίπου 4,37 €, που παρουσιάζεται ως χρέωση ανανέωσης υπηρεσίας.

Μόλις υποβληθούν τα στοιχεία της κάρτας, τα θύματα παρουσιάζονται με μια δόλια σελίδα επαλήθευσης 3D Secure που καταγράφει τον κωδικό πρόσβασης μιας χρήσης που αποστέλλεται από την τράπεζά τους.

Αυτή η τελευταία πληροφορία παρέχει στους εισβολείς όλα όσα χρειάζονται για να εξουσιοδοτήσουν τις δόλιες συναλλαγές σε πραγματικό χρόνο.

Σε όλη αυτή τη διαδικασία, όλα τα κλεμμένα δεδομένα διοχετεύονται σε συνομιλίες Telegram που χρησιμεύουν ως κανάλια διείσδυσης, παρέχοντας στους εισβολείς άμεσες ειδοποιήσεις.

Μετά την ολοκλήρωση των σταδίων, τα θύματα ανακατευθύνονται στον νόμιμο ιστότοπο της Αρούμπα, χωρίς να γνωρίζουν ότι οι πληροφορίες τους παραβιάστηκαν.

Αυτή η λειτουργία υπογραμμίζει την αυξανόμενη τάση του phishing-as-a-service, όπου τα προκατασκευασμένα κιτ μειώνουν δραματικά τα τεχνικά εμπόδια και επιτρέπουν την εκτεταμένη κλοπή διαπιστευτηρίων σε βιομηχανική κλίμακα.