Microsoft Word | Phishing | E-mail

Nová phishingová kampaň se schovávala za kurýrní službu UPS – falešná faktura stahovala malware

Útočníci, kteří chtějí napadnout počítačové systémy, dobře vědí, že nejslabším článkem zabezpečení bývá uživatel. Pokud se jim podaří přesvědčit ho, aby otevřel škodlivý soubor, mají většinou vyhráno. Proto s oblibou využívají phishing s prvky sociálního inženýrství.

Cílem phishingu je získání důvěry uživatele a její následné zneužití ke kýžené akci. Aktuální kampaň, na kterou upozornil irský bezpečnostní expert Daniel Gallagher, využívala jméno a logo kurýrní služby UPS. Zneužívala také XSS zranitelnost na webu ups.com k zasílání falešných škodlivých faktur ve formátu MS Word.

Faktura za balík a malware v počítači

V rámci kampaně byly obětem zasílány e-mailové zprávy, vydávající se za e-maily od společnosti UPS. Největší zákeřnost tohoto útoku spočívala ve zneužití zranitelnosti XSS na webu ups.com. Útočník díky ní upravil běžnou stránku webu tak, aby vypadala jako legitimní stránka pro stažení dokumentu.

Takzvaný cross-site scripting (XSS) je typ zranitelnosti webové aplikace. Útok je založen na vložení (podstrčení) kódu do dynamické webové stránky přes JavaScript prováděný na straně klienta. Bývá využíván při phishingu, kde je pomocí XSS uživateli zobrazen škodlivý obsah na jinak důvěryhodné stránce.

Cross-site scripting (XSS) na webu UPS 
Cross-site scripting (XSS) na webu UPS

Uživatelé tedy neměli příliš mnoho důvodu pojmout jakékoli podezření – dokument, který si měli stáhnout, si na první pohled stahovali z oficiálních stránek UPS. Ve skutečnosti však skript injektovaný přes zranitelnost podstrčil do stránky kód s odkazem na stažení škodlivého souboru.

Chyba na webu byla opravena

Oběti si tak mohly stáhnout dokument v dobré víře, že byl vystaven kurýrní službou. Skutečnost však byla taková, že soubor byl stažen z úložiště útočníka. Tato phishingová technika je poměrně chytrá, protože uživatel, který otevře odkaz, uvidí v adresním řádku prohlížeče legitimní URL ups.com a vyzvu ke stažení faktury.

Lze předpokládat, že oběti otevřou fakturu s menším podezřením a budou si myslet, že se jedná o soubor od společnosti UPS. Stažený dokument se jmenuje invoice_1Z7301XR1412220178 a tváří se jako faktura za přepravu od společnosti UPS.

Při otevření souboru byl veškerý text nečitelný a dokument vyzýval uživatele, aby pro jeho správné zobrazení povolil možnost Povolit obsah. Pokud to uživatel povolil, pokusilo se makro stáhnout soubor z adresy https://divine-bar-3d75.visual-candy.workers.dev/blackhole.png. Tato adresa však již není funkční, takže není možné zjistit, jaký škodlivý kód se na ní nacházel.

Tento podvodný phishing ilustruje kreativitu a vývoj technik, jež útočníci používají k přesvědčivé distribuci škodlivých souborů. Nejvíce zde pomohla zranitelnost XSS, která umožňovala, aby se URL stránky pro stahování jevila jako legitimní web společnosti UPS. Dobrou zprávou je, že firma již chybu opravila a uvedenou zranitelnost tak na webu nelze dále zneužívat.

Diskuze (3) Další článek: V aktualizaci Flight Simulatoru bude elektrický Volocopter. A vylepšené mapy Německa, Rakouska a Švýcarska

Témata článku: , , , , , , , , , , , ,