URL-адреса в 4 раза чаще, чем фишинговые вложения, достигают пользователей: Cofense

Кофейня выпустил свой отчет комментируя, что первые шаги в традиционных фишинговых электронных письмах оставались неизменными на протяжении десятилетий: электронное письмо содержало либо вредоносный URL-адрес, либо вложение.

Согласно Cofense, его данные за прошлый год показывают, что доминирование URL-адресов над вложениями продолжалось в 2022 году по нескольким причинам, включая доверенные домены, которые можно использовать для злоупотреблений, бесплатные услуги в Интернете, которые обеспечивают фишинговую инфраструктуру, и уклончивые эффекты перенаправлений.

«Эта продолжающаяся тенденция доминирования на основе URL-адресов наблюдается среди фишинговых электронных писем, достигающих организаций корпоративного уровня, многие из которых защищены высококлассными безопасными почтовыми шлюзами (SEG)», — говорит Кофенс.

«Существует ряд возможных причин, по которым фишинговые электронные письма на основе URL-адресов могут легче избежать обнаружения SEG, чем электронные письма на основе вложений. URL-адреса могут иметь неотъемлемый уровень доверия, если доверенные домены используются не по назначению; SEG могут лучше определять вредоносные файлы, чем URL-адреса; большой процент безопасных маркетинговых электронных писем содержит URL-адреса из неизвестных источников, и поэтому их трудно отличить от вредоносных URL-адресов из неизвестных источников.

«Помимо SEG, у злоумышленников есть еще больше причин использовать URL-адреса, поскольку пользователям в современной рабочей среде может быть удобнее взаимодействовать с неизвестной ссылкой, чем с неизвестным вложением. Две диаграммы на рис. 1 показывают, что доля фишинговых электронных писем на основе URL-адресов существенно не изменилась в период с 2021 по 2022 год, но по-прежнему опережает эффективное использование вложений в четыре раза. Использование вложений увеличило свою долю от общего количества примерно на три процента».

«Традиционные фишинговые электронные письма обычно имеют целью кражу учетных данных или доставку вредоносного ПО. Вложенные файлы и встроенные URL-адреса могут использоваться для любой из этих целей. На рис. 2 показано, что, несмотря на то, что сообщения электронной почты с доставкой вредоносного ПО чаще используют вложения в качестве метода взаимодействия, чем сообщения электронной почты с фишингом учетных данных, и то, и другое в основном инициируется встроенным URL-адресом.

«Как правило, мы ожидаем увидеть более высокий процент URL-адресов с фишингом учетных данных. В основном это связано с тем, что для большинства вариантов фишинга учетных данных уже требуется использование URL-адресов. Фишинг как услуга и другие продаваемые готовые наборы для фишинга часто отдают предпочтение использованию URL-адресов. Однако использование вложений по-прежнему достаточно распространено, а такие типы файлов, как HTML и PDF, являются одними из наиболее распространенных в фишинговых электронных письмах с учетными данными.

«Как уже отмечалось, использование вложений для доставки вредоносных программ более заметно, чем то, что мы наблюдаем в кампаниях по фишингу учетных данных. Вероятно, это связано с тем, что доставка большинства вредоносных программ уже требует использования файлов в качестве окончательной полезной нагрузки, а это означает, что субъект угрозы уже в некоторой степени знаком с использованием файлов.

«Кроме того, злоумышленники, пытающиеся доставить вредоносное ПО, очень часто включают свои вредоносные файлы в защищенные паролем ZIP-архивы, что может нарушить анализ SEG. Это увеличивает количество фишинговых писем, которые, как мы видим, доходят до конечных пользователей. Кроме того, известно, что некоторые наиболее продвинутые семейства вредоносных программ, которые распространяются в больших объемах, такие как QakBot и Emotet, используют вложения в своих электронных письмах, но они также используют встроенные URL-адреса.

Cofense говорит, что фишинговые URL-адреса в настоящее время являются наиболее популярным методом взаимодействия, используемым в фишинговых электронных письмах, достигающих почтовых ящиков, и фишинговые тактики, используемые злоумышленниками, которые известны тем, что обходят инфраструктуру безопасности электронной почты, способствуют этому. Фишинговые URL-адреса, достигающие конечных пользователей, часто используют одну из следующих тактик во встроенных URL-адресах (хотя существуют и другие тактики):

Надежные домены. Надежные службы, такие как облачные службы, часто используются злоумышленниками для размещения вредоносного контента. Это означает, что их фишинговые сайты будут находиться в доменах, которые конечные пользователи и инфраструктура безопасности, такая как SEG, считают доверенными. Фишинговые электронные письма со злоупотреблением этими службами часто достигают намеченных целей, поскольку эти домены нельзя напрямую заблокировать.

Открыто доступные услуги. Злоумышленники часто ищут бесплатные или дешевые услуги для злоупотреблений в рамках своих фишинговых кампаний. Часто это может даже привести к тому, что их URL-адреса также будут иметь доверенный домен. Любая бесплатная или дешевая хостинговая платформа подвергается риску злоупотреблений со стороны злоумышленников, ищущих дешевый способ

Множественные перенаправления. Распространенной тактикой является то, что URL-адрес, встроенный в фишинговое электронное письмо, не является первым этапом фишинговой атаки. Используя несколько перенаправлений и создавая цепочку вредоносных URL-адресов для анализа, субъекты угрозы часто могут иметь достаточное количество перенаправлений с начального URL-адреса на конечную страницу, которая непосредственно используется для загрузки вредоносного ПО или кражи учетных данных, что SEG может остановить анализ до того, как дойдет до нее.

Cofense говорит, что существует множество потенциальных тактик, которые можно использовать для эффективного использования вредоносных вложений в фишинговых электронных письмах.

«Вредоносные вложения имеют множество применений, включая непосредственный сбор учетных данных, содержание других сжатых вредоносных файлов, перенаправление на фишинговый URL-адрес и действие в качестве первого этапа загрузки вредоносного ПО, а также многие другие возможности.

«Кроме того, тип используемого вложения часто зависит от доставляемой угрозы. Вот некоторые из наиболее распространенных тактик, используемых в фишинговых письмах, содержащих вредоносные вложения:

Файлы, защищенные паролем. Злоумышленники часто используют защищенные паролем файлы, такие как ZIP-архив, для обхода системы безопасности и достижения намеченных целей. Emotet печально известен использованием этой тактики и часто распространяет большое количество электронных писем с вредоносными файлами Office, сжатыми в защищенные паролем ZIP-архивы. Пароль часто находится в легкодоступных местах, чтобы предполагаемая цель могла его найти, например, в теле письма.

Незнакомые вложения. Злоумышленники часто ищут новые типы вложений, которые могут быть неизвестны исследователям безопасности и могут обойти SEG. Большинство SEG легко перехватят и заблокируют непосредственно прикрепленный вредоносный исполняемый файл из-за упрощенного и очевидного характера угрозы. Тем не менее, злоумышленники знают об этом, и недавно мы видели, как операторы QakBot отправляли напрямую прикрепленные файлы .ONE, которые, похоже, эффективно избегали проверки SEG.

Закодированные файлы. Кодирование файлов является популярным способом затруднить анализ вредоносных вложений. Файлы HTML — это очень популярный тип файлов для кодирования злоумышленниками, но кодирование — это обычная тактика, используемая для различных типов файлов.