«Лаборатория Касперского» обнаружила, что злоумышленники используют Bubble — платформу для разработки и размещения веб- и мобильных приложений без написания кода, чтобы создавать с её помощью промежуточные онлайн-ресурсы, с которых пользователь попадает на фишинговый сайт. Это новая фишинговая техника, которую злоумышленники применяют для обхода традиционных средств защиты. Конечная цель атак — кража учётных данных для входа на корпоративные ресурсы. Угроза может коснуться бизнеса любого масштаба, в том числе небольших предприятий.
Как начинается атака. Сотрудник компании получает письмо на корпоративную почту, в котором ему сообщают о необходимости ознакомиться или подписать некий документ в рамках работы по документообороту. В обращении содержится ссылка, по которой якобы надо перейти, чтобы открыть нужный текст.
Суть новой техники злоумышленников. Bubble работает следующим образом: на платформе можно описать необходимую функциональность, чтобы сгенерировать готовое решение, например создать сайт. Он размещается в инфраструктуре Bubble, а значит имеет доверенный домен *bubble.io. Фишеры пользуются этой возможностью и создают легитимное веб-приложение, с которого осуществляется автоматический редирект жертвы на убедительную подделку страницы для входа в сервисы Microsoft, защищённую проверками Cloudflare. Если на ней ввести логин и пароль, данными смогут воспользоваться злоумышленники.
Мошенники делают ставку на то, что домен, на котором располагается промежуточный ресурс, относится к известным источникам, поэтому добавленная в фишинговое письмо ссылка может пройти проверку безопасности внутренних систем компаний.
«В традиционных фишинговых атаках обычно используются вредоносные ссылки или очевидные методы перенаправления, которые, как правило, обнаруживаются и блокируются современными системами безопасности. Однако теперь злоумышленники используют бескодовую среду Bubble для создания промежуточных веб‑приложений, размещённых в легитимной инфраструктуре платформы и на доверенных доменах. Это повышает их достоверность и свидетельствует об эволюции тактик злоумышленников с целью обхода блокировок. В результате как самим пользователям, так и автоматическим системам становится всё сложнее отличать безопасный контент от вредоносного», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.