Check Point Research при поддержке Otorio провели анализ фишинговых компаний, которые своей деятельностью приносили вред множеству организаций.
В их числе оказалась и фишинговая рассылка, основанная на использовании HTML-страниц, прикрепленных к письму. С ее помощью были похищены учетные данные работников многих компаний. Средства защиты Microsoft Office 365 не смогли этому воспрепятствовать.
Допустив банальную ошибку, хакеры поделились со всеми украденными данными. А если точнее, то воспользовавшись простым поиском в Гугл, любой пользователь имел возможность получить пароли к электронным почтовым ящикам, которые были взломаны злоумышленниками.
Процесс взлома
Хакеры использовали отправку электронного письма, которое в поле темы содержало наименование предприятия и имитировало уведомление о сканировании Xerox. Двойной клик пользователем на вложенный файл приводил к показу размытой картинки в окне браузера. Также злоумышленниками использовались и некоторые другие подходы, но страница с размытым изображением оставалась неизменной.
Открытие вредоносного файла приводило к запуску JavaScript кода, процесс выполнения которого производился в фоне. Его предназначением была проверка учетных данных, их отправка на сервер хакеров и последующее перенаправление на официальный сайт Office 365.
В ходе атак злоумышленники постоянно дорабатывали свой код. Использованные ими методы не отличались большой сложностью, но все же смогли обойти проверку большинства антивирусов.
Используемая инфраструктура
В ходе фишинговой кампании были использованы веб-сайты WordPress, которые играли роль промежуточных серверов. Также применялись и собственные инфраструктуры злоумышленников, сервера которой профункционировали около 2 месяцев. В них было задействовано множество различных скомпрометированных доменов. Сайты на базе серверов WordPress содержали вредоносную PHP-страницу.
После проведения анализа рассылок удалось выяснить используемые хакерами приемы. Так, почта отправлялась с сервера Linux, который был размещен в Microsoft Azure. Отправка вредоносных писем чаще всего выполнялась при помощи PHP Mailer 6.1.5, а для доставки использовались 1&1 сервера электронной почты.
Ошибкой хакеров стало то, что после отправки украденных данных они сохранялись в файле, не скрытом от индексирования поисковыми системами. Благодаря этому специалистам удалось быстро отсортировать пострадавшие компании в соответствии с их сферой деятельности. Как показал анализ, больше всех пострадали предприятия, работающие в сфере строительства и энергетики.
Оригинал статьи на нашем сайте: https://h-it.ru/iz-za-google-indeksatsii-khakery-poteryali-vse-kradennye-dannye