В настоящее время участники фишинга активно злоупотребляют платформой Glitch для бесплатного размещения краткосрочных URL-адресов для кражи учетных данных, избегая обнаружения и удаления.
Недавние кампании нацелены на сотрудников крупных корпораций, работающих на Ближнем Востоке.
Согласно анализу исследовательской группы DomainTools, эта фишинговая кампания началась в июле 2021 года и продолжается до сих пор.
«Чистые» PDF-файлы, которые не обнаруживаются
Актеры отправляют электронные письма с вложениями PDF-документов, которые не содержат вредоносного кода, поэтому антивирусные предупреждения не генерируются.
Вместо этого эти PDF-файлы содержат ссылку, которая направляет пользователя на страницу, размещенную на Glitch, которая будет отображать целевую страницу.
Пример URL-адреса, встроенного в эти PDF-документы, показан ниже:
https://spot-truthful-patio[.]glitch.me/red.htm#%[email protected]Компания DomainTools получила 70 PDF-файлов этого типа и обнаружила, что все они используют уникальный адрес электронной почты и URL-адрес для ссылки на различные страницы «red.htm», размещенные на Glitch.
Злоупотребление глюк
Glitch — это облачный хостинг, который позволяет людям развертывать приложения и веб-сайты с помощью Node.js, React и других платформ разработки.
Эта платформа привлекательна для фишинговых атак, поскольку предлагает бесплатную версию, которая позволяет пользователям создавать приложение / страницу и сохранять их в Интернете в течение пяти минут. После этого пользователь должен снова включить его вручную.
Поскольку Glitch является в целом надежной платформой, инструменты сетевой безопасности благосклонно относятся к ее доменам и не выдают предупреждений при посещении сайта.
Этот благоприятный взгляд со стороны платформ безопасности в сочетании с недолговечными URL-адресами и тем фактом, что злоумышленники могут размещать их бесплатно, делает Glitch отличной мишенью для злоупотреблений со стороны фишинговых агентов.
Копнув глубже, DomainTools обнаружил действующий сайт Glitch, связанный с коммерческой службой песочницы вредоносных программ, содержащий снимок экрана фишинговой страницы входа в Microsoft SharePoint.
Документ PDF, который привел к этому, был отправлен в VirusTotal, чтобы исследователи могли привязать образец к нескольким документам HTML.
Вытащив эти страницы, исследователи обнаружили фрагменты запутанного кода JavaScript, используемые для пересылки учетных данных на адрес электронной почты после их передачи через взломанные сайты WordPress.
Деобфускация выявила адрес электронной почты Outlook, на который были получены украденные учетные данные, что привело к обнаружению набора дополнительных PDF-файлов, созданных в сентябре 2021 года.
Злоумышленники размещали эти документы на различных сервисах, подобных Glitch, таких как Heroku, или через сети распространения контента, такие как SelCDN.
Это означает, что Glitch был лишь одним из многих каналов, которыми злоумышленники злоупотребляли для уклонения от обнаружения и кражи учетных данных.
DomainTools обратился к Glitch, чтобы сообщить им о своих выводах, но пока не получил ответа.
Последнее обновление 05.01.2023
