12 апреля 2021
Глубоководное погружение
CERT-GIB публикует новое исследование о фишинг-китах
Иван Лебедев
Аналитик CERT-GIB
Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты для создания и работы фишингового сайта. Проще говоря, «конструктор» для массового создания фейковых ресурсов под официальные сайты компаний. Такой инструмент позволяет злоумышленникам, не имеющих серьезных навыков в программировании, быстро разворачивать сотни фишинговых страниц и использовать их как зеркала друг друга. Group-IB начала строить свою систему по сбору фишинговых наборов почти десять лет назад — в 2012-2013 году и за последние годы собрала колоссальную базу фишинг-китов, которая постоянно пополняется и позволяет компании эффективно бороться с фишингом под конкретный бренд.
Бренды на мушке
В 2020 году Group-IB обнаружила фишинг-киты, нацеленные на более 260 уникальных брендов. Самым популярным брендом, использованным в фишинг-китах, оказался Microsoft и его продукты и сервисы: Microsoft Live, Microsoft Office 365, Microsoft OneDrive и Microsoft Outlook. Среди других популярных брендов — PayPal, Google и Yahoo!
Главной мишенью злоумышленников были онлайн-сервисы (30,7%): похищая учетные данные пользовательских аккаунтов, злоумышленники получали доступ к данным привязанных банковских карт. Привлекательность почтовых сервисов в прошлом году снизилась, а их доля в общем числе фишинговых наборов сократилась до 22,8%. Тройку замыкают финансовые учреждения, на которые приходится чуть более 20%.
Главной мишенью злоумышленников были онлайн-сервисы (30,7%): похищая учетные данные пользовательских аккаунтов, злоумышленники получали доступ к данным привязанных банковских карт. Привлекательность почтовых сервисов в прошлом году снизилась, а их доля в общем числе фишинговых наборов сократилась до 22,8%. Тройку замыкают финансовые учреждения, на которые приходится чуть более 20%.
Способы доставки украденных данных
1
Жертва вводит данные
2
Данные передаются скрипту-обработчику
3
Скрипт-обработчик отправляет данные злоумышленнику или сохраняет локально
Самым популярным способом доставки похищенных данных уже давно остается отправка по электронной почте. Так, email не использовали лишь в 6% фишинг-китов. При этом в 64% фишинг-китов используются два или более почтовых адресов.
Для отправки украденных данных злоумышленники чаще всего используют бесплатные почтовые сервисы. Топ-10 самых популярных почтовых доменов в фишинг-китах — публичные сервисы. Они составляют 61% от общего числа используемых email-адресов.
Как правило, злоумышленники используют в фишинг-китах одноразовые адреса электронной почты. Лишь 23% email-адресов, встречающихся в базе фишинг-китов Group-IB, были использованы повторно.
Альтернативные пути передачи украденных данных
Аналитики CERT-GIB также фиксируют иные способы обработки украденных данных и разделяют их на две большие группы: локальное хранение и отправку данных на удаленные хосты.
Локальные способы:
1
Базы mySQL
Вариант нечастый и относительно сложный в реализации, но забирать из него данные простым путем не получится. Сложность в том, что создание базы требует дополнительных действий, которые создатель фишинг-кита зачастую не автоматизирует. Обычно в наборе оставляют лишь краткую инструкцию по настройке базы, для работы с которой необходимы начальные знания.
2
Текстовые файлы
Обычно с расширением .txt, но встречаются и другие, например, .jpg. В любом случае данные записываются именно в текстовом формате. Файлы с похищенными данными хранятся на том же хостинге, что и фишинговый сайт, и могут быть доступны для скачивания извне.
Удаленные способы:
1
Отправка GET/POST-запросом на удаленный сервер
Сервер может как полностью принадлежать злоумышленникам, так и быть легитимным. Некоторые злоумышленники для передачи похищенных данных используют Google-формы.
2
Отправка через API Telegram
Набирающий популярность способ, позволяющий отправлять собранные данные в закрытый канал в Telegram. Данные автоматически попадают в Telegram-канал с помощью специального скрипта — для этого злоумышленникам требуется лишь API-ключ и ID канала. В частности, в Telegram есть целая платформа для создания и проведения мошеннических атак. Она подробно описана в недавнем исследовании Group-IB.
Пример скрипта для передачи данных в закрытый Telegram-канал
Дополнительный функционал
Иногда функциональность фишинг-китов не ограничивается созданием фишинговых сайтов. В частности, в них может быть предусмотрена подгрузка вредоносного файла на устройство жертвы. В одном из фишинг-китов, исследованных аналитиками CERT-GIB, создавался временный файл при помощи языка VBScript, а в него побайтово записывался вредоносный код червя Ramnit в бинарном виде. Затем этот код запускался при помощи Windows Script Host.
Пример скрипта загрузки ВПО на хост посетителя фишингового сайта
Существует еще одна особенность фишинг-китов, которую можно нередко встретить. Обычно фишинг-киты создаются для продажи злоумышленникам, которые плохо разбираются в разработке. Поэтому иногда, примерно в 10% случаев, разработчики оставляют лазейку, позволяющую им похищать уже украденные данные или даже перехватывать доступ к хостингу целиком.
Для кражи данных достаточно незаметно указать дополнительный email для отправки. В примере ниже покупателю фишинг-кита предлагается указать email в переменной "yourmail":
Для кражи данных достаточно незаметно указать дополнительный email для отправки. В примере ниже покупателю фишинг-кита предлагается указать email в переменной "yourmail":
При этом в функции отправки используется не просто переменная "yourmail", а массив "send", в котором помимо "легального" адреса присутствует некоторый "token", декодируемый из шестнадцатеричного кода.
Пример скрытой передачи данных создателю фишинг-кита
Переменная "token" инициализируется POST-запросом из других скриптов, управляющих получением данных жертвы.
Инициализация переменной "token" шестнадцатеричной строкой
После декодирования строка приобретает следующий вид:
Декодированные данные из переменной "token"
За первой функцией отправки следует и вторая, которая отправляет информацию уже исключительно на скрытые адреса, заданные в переменной "mail":
Скрытый адрес создателя фишинг-кита в кодированном и декодированном виде
Дополнительные email-адреса могут быть спрятаны и не столь очевидно. В примере ниже адрес спрятан в переменной IP, которая на первый взгляд нигде не задается (обычным поиском по файлам ее не найти).
Более хитрый способ скрыть адрес создателя фишинг-кита
Однако можно обратить внимание на подключение скрипта sec.gif, который выглядит следующим образом:
Обфусцированный скрипт sec.gif
Цель скрипта — задать значение переменной IP, которое равно noreply@miс***ite[.]com.
Разработчики не ограничиваются внедрением дополнительных email-адресов: иногда можно столкнуться со скриптами, открывающими на хостинге веб-шеллы, о которых неизвестно покупателям фишинг-китов. Веб-шелл (web-shell) — это вредоносный скрипт (программа), который злоумышленники используют для управления чужими сайтами и серверами: выполнения команд терминала, перебора паролей, доступа к файловой системе и т.п. Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей.
В следующем примере веб-шелл расположен в скрипте с именем robots.php.
Разработчики не ограничиваются внедрением дополнительных email-адресов: иногда можно столкнуться со скриптами, открывающими на хостинге веб-шеллы, о которых неизвестно покупателям фишинг-китов. Веб-шелл (web-shell) — это вредоносный скрипт (программа), который злоумышленники используют для управления чужими сайтами и серверами: выполнения команд терминала, перебора паролей, доступа к файловой системе и т.п. Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей.
В следующем примере веб-шелл расположен в скрипте с именем robots.php.
Пример веб-шелла, встроенного в фишинг-кит
Сам веб-шелл представляет собой простейшую форму, позволяющую загрузить на хостинг любой файл:
Интерфейс веб-шелла
Для доступа к шеллу необходим пароль, который после хэширования SHA1 и MD5 будет равен aafedc957d39b975c5d15413825b033f.
В еще одном кейсе, исследованном CERT-GIB, веб-шелл был спрятан посерьезнее. Сам скрипт был расположен не в фишинг-ките, а загружался с Pastebin, ссылка на который собиралась по частям.
В еще одном кейсе, исследованном CERT-GIB, веб-шелл был спрятан посерьезнее. Сам скрипт был расположен не в фишинг-ките, а загружался с Pastebin, ссылка на который собиралась по частям.
Скрытая загрузка веб-шелла
Стоит отметить, что скрипт antibot.php — относительно простой способ обхода автоматического детектирования фишинг-ресурсов, который ограничивает доступ к фишингу с определенных IP-адресов или с использованием определенных юзерагентов/хостнеймов. Ссылка указана в массиве известных имён ботов/краулеров, для которых доступ на фишинговый ресурс будет ограничен.
Массив, в котором спрятана разбитая ссылка
Загружаемый скрипт состоит из двух частей. Первая представляет собой общедоступный веб-шелл, который работает аналогично предыдущему и просто загружает файлы на хостинг:
Общедоступный веб-шелл
Вторая, обфусцированная с использованием простого алгоритма и спрятанная после отвлекающего текста, является дополнительным веб-шеллом. Создатель фишинг-кита получает дополнительное уведомление об установке этого шелла.
Скрытый веб-шелл
Некоторые разработчики оставляют в фишинг-китах дополнительные следы, что в дальнейшем может служить еще одним источником атрибуции:
Бороться с «продвинутыми» фишинговыми схемами с помощью классического мониторинга и блокировки недостаточно, необходимо выявлять все элементы инфраструктуры атакующих, блокируя не отдельные фишинговые страницы, а сеть мошеннических ресурсов целиком. Система Group-IB Threat Intelligence & Attribution проводит анализ фишинговых атак и атрибутирует их до конкретной преступной группы, выявляя все созданные ей ресурсы. В системе Group-IB Threat Intelligence & Attribution аккумулирована обширная база фишинговых наборов, что позволяет компании бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов, доступ к которым позволяет определить, были ли данные скомпрометированы и куда они передавались.
Рекомендации для пользователей по защите от фишинга
Не переходите по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты, соцсетях и мессенджерах.
Не загружайте вложенные файлы из сообщений, которых вы не ожидали.
Внимательно проанализируйте адрес сайта (URL), на который вы были переадресованы. В большинстве случаев фишинга URL-адрес отличается от оригинального домена одним знаком (например, заканчивается на .com вместо .gov или wiIdberries.ru вместо wildberries.ru с заглавной i вместо l).
Обновляйте браузер до последней версии.
Проверьте домен на сайте tcinet.ru. Там можно узнать дату регистрации: как правило, мошеннические сайты живут несколько дней.
Не совершайте онлайн-покупки по предоплате на непроверенных сайтах.
Для покупок в интернете используйте отдельную банковскую карту.
Рекомендации для бизнеса
Для пресечения подобных продвинутых фишинговых схем классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему выявления и устранения цифровых рисков на основе искусственного интеллекта (подробности тут). Ее база знаний регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах мошенничества.
Использовать специализированные системы Digital Risk Protection, позволяющие проактивно выявлять появление поддельных доменов, мошеннической рекламы и фишинга.
Обеспечить непрерывный мониторинг андеграундных форумов, чтобы отслеживать попытки использования бренда в неправомерных целях.
Анализировать фишинговые атаки, чтобы определить преступную группу, раскрыть участников и привлечь их к ответственности.
Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB — один из первых частных CERT в Восточной Европе, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе Threat Hunting Framework. CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности и при необходимости высылает на место инцидента мобильную бригаду, которая контролирует необходимые процедуры и собирает цифровые доказательства. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих ВПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зон. Узнать больше о CERT-GIB и сообщить об инциденте можно на официальном сайте.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
