O nouă tehnică de phishing exploatează o platformă AI no-code

O nouă tehnică de phishing, utilizată pentru a evita controalele tradiționale de securitate, a fost descoperită, a anunțat Kaspersky.

Noua tehniocă exploatează Bubble, o platformă ce permite utilizatorilor să creeze aplicații web și mobile printr-o interfață vizuală, fără a scrie cod. Mai nou, infractorii cibernetici adoptă tot mai frecvent instrumente inovatoare destinate dezvoltării legitime de software și le reutilizează pentru a-și face campaniile de phishing mai ample.

Atacurile de phishing tradiționale se bazează adesea pe link-uri malițioase sau pe tehnici evidente de redirecționare, care sunt de obicei detectate și blocate de sistemele moderne de securitate. Totuși, atacatorii folosesc acum mediul no-code oferit de Bubble pentru a genera aplicații web intermediare, găzduite pe infrastructura legitimă a platformei și pe domenii de încredere precum *.bubble.io, ceea ce le crește credibilitatea și îi ajută să ocolească filtrele de securitate. Aceste aplicații funcționează ca redirecționări mascate, aducând discret victimele pe site-uri malițioase, care le colectează informațiile personale.

Cum funcționează noua campanie de phishing?

În campania analizată, victimele erau redirecționate în final către o imitație convingătoare a unei pagini de autentificare Microsoft, protejată de un layer de verificare Cloudflare, menit să ascundă și mai bine intenția malițioasă.

Această tehnică este probabil integrată în platforme mai ample, de tip phishing-as-a-service (PhaaS) și în kituri de phishing. Acestea oferă o gamă largă de capabilități malițioase prin instrumente gata de utilizare, inclusiv interceptarea în timp real a cookie-urilor, desfășurarea campaniilor de phishing prin servicii legitime precum Google Tasks și Google Forms și realizarea de atacuri de tip adversary-in-the-middle (AiTM), capabile să ocolească autentificarea multifactor.

De asemenea, aceste kituri permit generarea de e-mailuri de phishing cu ajutorul AI, implementează mecanisme de geo-filtrare și anti-detectare pentru a evita sistemele de securitate și sunt adesea găzduite pe servicii cloud de încredere, precum AWS, pentru a evita blocarea.

Pentru a putea fi evitată această tactică, sunt necesare, printre altele, soluții de securitate complexe pentru a bloca accesul către destinații de phishing cunoscute sau suspecte.

Sursa – Kaspersky