Verstecken mit Drehkreuz-Verifizierung
7. November 2024
Was Sie in dieser Meldung erfahren werden
Die neuesten Verschleierungstechniken, um bösartige Inhalte hinter Drehkreuz-Verifizierungstechniken zu verbergen.
- Alle Sektoren im Visier
- Angreifer erstellen Cloudflare Turnstile-Checks, um ihre Phishing-Seiten zu verschleiern
- Ziel ist es, Anmeldedaten für weitere Angriffe und Erpressungen zu erhalten.
Mimecast Threat Researcher haben festgestellt, dass die Turnstile-Prüfungen von Cloudflare verstärkt eingesetzt werden, um bösartige Inhalte zu verschleiern und die Legitimität ihrer Phishing- oder Betrugsseiten zu verbessern. Turnstile wurde entwickelt, um Benutzer zu verifizieren, ohne dass herkömmliche CAPTCHA-Herausforderungen erforderlich sind. Das macht es zu einem attraktiven Werkzeug für diejenigen, die Sicherheitsmaßnahmen umgehen und gleichzeitig eine Fassade der Glaubwürdigkeit aufrechterhalten wollen. Das Verständnis der Auswirkungen der Nutzung von Cloudflare Turnstile und das Erkennen der üblichen Indikatoren für eine Kompromittierung (IOCs) ist entscheidend für die Aufrechterhaltung der Sicherheitslage Ihres Unternehmens.
Beispiele für Kampagnenabläufe
- Die meisten nutzen kompromittierte Konten, um einen Phishing-Link zu verbreiten.
- Bei Phishing-Links wird automatisch ein Cloudflare Turnstile-Verifizierungsschritt eingeleitet.
- Eine weitere Verschleierung erfolgt durch eingebettete .wav Dateien.
- Alle Seiten leiten auf eine Phishing-Seite für Microsoft 365-Anmeldeinformationen um
Ein obskureres Beispiel, bei dem eine wav-Datei verwendet wird, um einen weiteren menschlichen Interaktionspunkt hinzuzufügen und die bösartige Seite weiter zu verschleiern.
Mechanismen des Missbrauchs
Legitimität durch Verifizierung
Turnstile arbeitet transparent und bestätigt die Echtheit der Benutzer, ohne die traditionellen CAPTCHA-Herausforderungen anzuzeigen. Diese Funktion kann von Bedrohungsakteuren ausgenutzt werden, um ein falsches Gefühl der Sicherheit für ihre Websites zu erzeugen. Durch die Einbettung von Turnstile können sie Nutzer und Sicherheitssysteme davon überzeugen, dass ihre Website legitim ist, wodurch die Wahrscheinlichkeit einer Überprüfung verringert wird.
Bösartige Inhalte verstecken
In Phishing-Kampagnen können Angreifer Turnstile nutzen, um den tatsächlichen Inhalt ihrer Websites vor Sicherheitsscannern zu verbergen. Durch die Integration von Turnstile können sie verhindern, dass automatisierte Systeme bösartige Elemente entdecken, da der Verifizierungsprozess die wahre Natur der Website verschleiern kann. Diese Taktik ermöglicht es ihnen, sich der Entdeckung zu entziehen und dennoch den Anschein zu erwecken, dass sie die Sicherheitsprotokolle einhalten.
Mimecast-Schutz
Wir haben neue Funktionen eingeführt, die bei der Erkennung dieser Art von Angriffen helfen. Lesen Sie das Service-Update, um mehr über die neue Funktion unseres URL Protect-Dienstes zu erfahren.
Zielsetzung:
Global, Alle Sektoren
IOCs:
Primäre URLs:
kckcaybfelv63lh671791dc49405.mueblesnet[.]com
dfo8pirl6ixxbq6671296e55b8a1.kodaa[.]lv
jhfuhyjaie1a9qx67128bb6d5ce3.filsecestors-insularpoint[.]org
filsecestors-insularpoint[.]org
phh.filsecestors-insularpoint[.]org
msd1u18s0hoj0dp670ff81742118[.]safescanlogistics
Empfehlungen
- Informieren Sie die Nutzer über die Risiken von Phishing und die Taktiken der Angreifer, einschließlich der Verwendung scheinbar legitimer Verifizierungsverfahren.
- Durchsuchen Sie Ihre Phishing-/URL-Protokolle, um festzustellen, ob Sie ein Opfer dieser Art von Phishing-Angriff geworden sind, indem Sie die veröffentlichten IOCs verwenden
- Setzen Sie die Anmeldedaten der betroffenen Benutzer zurück, um sicherzustellen, dass der Zugriff des böswilligen Akteurs aufgehoben wird.
- Nutzen Sie die Multi-Faktor-Authentifizierung, um die Möglichkeiten eines Angreifers zu verringern, Zugang zu den Anmeldedaten Ihrer Benutzer zu erhalten.