Веб-сайт фишинговой атаки, нацеленной на пользователей Mac — Image Credit: LayerX Labs
Обнаружена новая фишинговая атака, направленная на пользователей Mac, которая сменила тактику только после того, как пользователи Windows, ранее нацеленные на нее, получили обновление браузера Edge.
Фишинговые атаки — довольно распространенная угроза, с которой приходится сталкиваться людям. Преступники создают веб-сайты и рассылают сообщения, обманывая людей, чтобы те поделились учетными данными или конфиденциальной информацией. Хотя техника использования электронной почты или фиктивных веб-сайтов может быть направлена практически против любого человека, иногда целевая аудитория может меняться по неожиданным причинам.
Одна из новых атак, обнаруженных компанией LayerX Labs, была направлена именно на пользователей Mac. Однако, несмотря на то, что последние цели атаки используют macOS, на самом деле фишинговая кампания изначально имела другую аудиторию.
Изначально она была направлена на пользователей Windows.
Большой фиш
Кампания, подробно описанная 19 марта компанией LayerX, была сложной и представляла собой поддельные предупреждения о безопасности в Windows. Наблюдаемая более года, атака использовала взломанные веб-сайты для отображения фальшивых предупреждений, утверждая, что ПК «взломан» и «заблокирован».
Появлялось окно, в котором пользователям предлагалось ввести имя пользователя и пароль Windows. В то же время веб-страница, на которую пользователи изначально загружались, замораживалась и становилась нефункциональной из-за использования вредоносного кода, создавая видимость заблокированного экрана.
Еще больше правдоподобности добавляло то, что кампания была размещена на платформе Microsoft Windows.net, предназначенной для хостинга приложений Azure, что заставляло пользователей верить в то, что сообщения действительно исходят от самой Microsoft.
Эту кампанию было сложно остановить и по другим причинам, например, из-за использования хостинга для некоторых элементов инфраструктуры страницы, которому доверяли безопасные веб-шлюзы и средства защиты электронной почты. Злоумышленники также использовали случайные и быстро меняющиеся поддомены, что позволяло продолжать кампанию, даже если некоторые поддомены были отмечены как вредоносные.
Атака осуществлялась, когда жертва пыталась перейти на легитимный сайт, но случайно включала в URL обычную опечатку. Жертва попадала на страницу парковки скомпрометированного домена, которая перенаправляла браузер через несколько сайтов, прежде чем попасть на настоящую страницу фишинговой атаки.
Сами веб-страницы и изображения, используемые для обмана пользователей, также были высокого уровня: LayerX назвал их хорошо продуманными и профессиональными. Также использовались системы проверки анти-бот и Captcha, чтобы помешать автоматизированным инструментам, которые могут обнаружить фишинговые кампании.
Плохие переключатели
К концу 2024 — началу 2025 года LayerX заметила, что кампания становится все более интенсивной, но не только она. Сама компания Microsoft также заметила атаку и внедрила в браузер Edge новую функцию «анти-страшилки», которая предотвратила атаку.
В то же время аналогичные защитные функции были добавлены в Google Chrome и Mozilla Firefox, что также помогло сократить количество атак.
После их внедрения LayerX наблюдал массовое снижение атак на пользователей Windows на 90 %. Атаки не исчезли полностью, вредоносные страницы все еще работали, но они уже не могли показывать пользователям фальшивые предупреждения.
Поскольку пользователи Windows перестали быть реальной целью благодаря обновлениям браузера, злоумышленники приняли решение переориентировать свои усилия и инфраструктуру на другую аудиторию: пользователей Mac.
Всего через две недели после того, как Microsoft выпустила изменения для Edge, LayerX начала наблюдать те же самые атаки, направленные на пользователей Mac. До внесения изменений компания не наблюдала атак, направленных на Mac.
Адаптированная атака
Новая атака была направлена на пользователей Mac, причем главной целью кампании стали пользователи Safari, утверждает LayerX.
Однако вместо того, чтобы тратить имеющиеся наработки на свою инфраструктуру, злоумышленники сохранили многие детали прежними, изменив лишь некоторые элементы. Например, макет фишинговой страницы и сообщения были обновлены, чтобы больше соответствовать приложениям macOS.
Код также был обновлен, чтобы ориентироваться на пользователей Safari на macOS, используя параметры HTTP OS и user agent для отсеивания потенциальных жертв. Странно, но, несмотря на проведенную работу по адаптации, кампания по-прежнему опиралась на инфраструктуру Windows.net.
Пока компании по безопасности работают над тем, чтобы догнать и остановить эту фишинговую кампанию, LayerX считает, что существование варианта для Mac свидетельствует о готовности преступников адаптироваться. Для того чтобы перейти от атак на пользователей Windows к атакам на пользователей Mac, было сделано относительно немного существенных изменений.
Это также свидетельствует о том, что пользователи Mac и Safari являются достаточно крупными объектами для фишинговых атак со стороны злоумышленников.
Защитите себя
Как правило, пользователи могут избежать фишинговых атак, соблюдая правила интернет-гигиены. Проверка на наличие таких признаков, как общие приветствия в сообщениях, дикие предложения и обещания, ошибки в URL-адресах и изображениях, может быть явным признаком того, что что-то не так.
В случае атаки через браузер, подобной той, что была описана выше и утверждала, что компьютер «завис», обычно можно закрыть «зависшую» вкладку или принудительно выйти из браузера, если это ложное предупреждение. Кроме того, маловероятно, что Apple когда-либо всерьез предложит предупреждения для пользователей Mac, связанные с доменом Windows любого типа.
Уделив немного времени предупреждениям и подобным странным сообщениям с требованием ввести учетные данные или платежные реквизиты, многие пользователи смогут избежать онлайн-ловушек.
Фишинговая кампания меняет цель с пользователей Windows на пользователей Mac