מיקרוסופט מזהירה ארגונים מפני חדירת נוזקות באמצעות כתובות URL של גוגל

מיקרוסופט (Microsoft) פרסמה בבלוג הרשמי שלה אזהרה לארגונים מפני קמפיין תקיפה חדש, המשתמש בטופסי קשר של אתרים לגיטימיים כדי להעביר קישורים זדוניים לעסקים באמצעות אימיילים, המכילים איומים משפטיים. האימיילים מנחים את המקבלים ללחוץ על קישור כדי לבדוק את ההוכחה לכאורה שעומדת מאחורי האיומים, אך במקום זאת גורמים להורדת נוזקת גניבת המידע IceID.

במרבית האתרים יש טופסי קשר, המאפשרים לגולשים לתקשר עם בעלי האתר. בקמפיין הזה, הבחינו חוקרי האיומים של החברה, שתוקפים מטרגטים ארגונים באמצעות ניצול טופסי הקשר שלהם. החוקרים סבורים, כי שטף האימיילים הנוצרים מטופסי הקשר מעידים כי תוקפים יצרו תהליך אוטומטי באמצעות עקיפת הגנות מבחן ה-CAPTCHA, שמטרתו להבטיח שהגולש הוא זה שעונה וכי התשובה לא מופקת באמצעות מחשב.

משלוח טופסי הקשר הללו מוביל לאימייל זדוני, שנוחת בתיבת הדואר של הקורבן, והוא נראה אמיתי משום שהוא מגיע ממערכת שיווק אמינה. ההודעה של התוקפים מנוסחת בלשון של דחיפות: "הורד זאת מיד ובדוק זאת בעצמך" – ומאיצה במקבל לפעול במהירות. ההודעה כוללת קישור לכתובת URL לגיטימית של גוגל (Google).

לחיצה על הקישור מביאה את הקורבן לדף של גוגל, המבקש את כניסתו עם אמצעי הזיהוי של חשבון גוגל שלו. הכניסה תפעיל אוטומטית הורדה של קובץ ZIP זדוני, שבסופו של דבר מוריד את נוזקת IceID למערכת המותקפת.

כאשר היא מופעלת, IceID מתקשרת לשרת שמוריד למערכת המותקפת מודולים המפקחים על פונקציות שונות, כמו "שאיבה" של נתוני חשבון בנק ואחרים, וכלים נוספים שמאפשרים לתוקפים לבצע מרחוק פעילויות זדוניות על המערכת שנפרצה, כולל גניבת נתוני זיהוי שונים ואף שליחת נוזקות נוספות למערכת.

מיקרוסופט התריעה בפני גוגל על הקמפיין הזה מאחר שהוא מנצל לרעה כתובות URL לגיטימיות של גוגל.

"בעוד שהקמפיין הספציפי הזה שולח את נוזקת ה-IceID, שיטת המשלוח יכולה להיות מנוצלת להפצה של שלל נוזקות נוספות, שיכולות בתורן להחדיר איומים אחרים לארגון", כותבים החוקרים בבלוג.

"הקמפיין הזה מוצלח לא רק מפי שהוא מנצל טופסי קשר לגיטימיים", מציינים חוקרי מיקרוסופט, "אלא שהתוכן הכתוב בהודעה נראה כמו משהו שהמקבל עשוי לצפות לו. בנוסף, מאחר שהאימיילים נראים תקינים לכאורה, המקבל מתייחס אליהם באמון".

אימיילים עם איומים משפטיים

התוקפים משתמשים באיומים משפטיים כ'טקטיקת הפחדה'", מציינים החוקרים, ובאופן עקבי מאשימים את המקבלים בהפרת זכויות – אם של צלם, מאייר או מעצב – ומאיימים כי יינקטו נגדם צעדים משפטיים, תוך שימוש במשפטים כמו "אתה עלול להיתבע", או "זה לא חוקי".

"הקמפיין הזה יוצר סיכון גבוה לארגונים, של תוקפים שמצליחים לשלוח אימיילים לתא הדואר, ומשום שאין להם מאפיינים טיפוסיים של הודעות זדוניות והם נראים לגיטימיים, הם מתחמקים ממסנני דואר זבל וספאם, ולכן עוד יותר נראים אמינים", מציינים החוקרים.

לסיכום דבריהם, כותבים החוקרים, כי "המחקר הזה מראה שהתוקפים הם תמיד בעלי מוטיבציה למצוא דרכים חדשות לשלוח אימיילים זדוניים לארגונים במטרה ברורה להסתיר את הזיהוי שלהם. התסריטים שהבחנו בהם מספקים הצצה לתחכום הגובר בטכניקות של התוקפים, המתמידים במטרה של שליחת נוזקה מסוכנת ומזיקה כמו IceID. השימוש הזה באמצעות משלוח של טפסים ראוי לציון, משום שהאימיילים לא מכילים סימנים אופייניים להודעה זדונית ונראים לכאורה לגיטימיים".

מיקרוסופט גם מציינת בבלוג, כי Microsoft Defender for Office 365 מציע הגנה מפני אימיילים מסוג זה ומשתמש בטכנולוגיות מתקדמות, מבוססות AI ולימוד מכונה, כדי לזהות טכניקות וכלים חדשים של התוקפים.

החברה ממליצה לארגונים לבדוק את כללי זרימת האימיילים של הארגון כדי לאתר יוצאי דופן, ולבנות באופן עקבי עמידות ארגונית נגד איומי דואר באמצעות חינוך המשתמשים לזהות תקיפות של הנדסה חברתית כדי למנוע חדירה של נוזקות.