25 марта 2022 г.
Современные наборы для фишинга, продаваемые на форумах по киберпреступности в виде готовых пакетов, включают несколько сложных систем предотвращения обнаружения и фильтрации трафика, чтобы гарантировать, что решения для интернет-безопасности не пометят их как угрозу.
В Интернете много поддельных веб-сайтов, имитирующих известные бренды, чтобы заманить жертв и украсть их платежные реквизиты или учетные данные.
Большинство этих веб-сайтов создаются с использованием фишинговых наборов , которые содержат логотипы брендов, реалистичные страницы входа и, в случае расширенных предложений, динамические веб-страницы, собранные из набора базовых элементов.
Расширенный словарь комплекта фишинга (Касперский)
Злоумышленники широко используют фишинговые наборы из -за предлагаемой ими автоматизации , поскольку им обычно приходится создавать сотни поддельных сайтов каждый день, чтобы заменить те, которые были обнаружены и заблокированы в предыдущий день.
Однако это не означает, что авторы этих комплектов не прилагают усилий для включения систем защиты от обнаружения, которые помогли бы им оставаться в рабочем состоянии дольше.
Напротив, они используют несколько механизмов, чтобы скрыть свою вредоносную природу от сложных детекторов угроз, и сегодня «Лаборатория Касперского» опубликовала отчет с подробным описанием основных методов.
Сканеры поисковых систем также должны быть заблокированы от доступа к сайту, поскольку размещение слишком высокого места в результатах поиска увеличивает риск разоблачения и приводит к быстрому удалению.
Кроме того, есть варианты обфускации, которые направлены на предотвращение обнаружения инструментами интернет-безопасности.
Ненужные HTML-теги на фишинговом сайте (Kaspersky)
Некоторые из вышеперечисленных приемов также используются для сокрытия украденных данных жертв или кода фишингового комплекта для предотвращения неоплаченных копий и форков.
Количество уникальных доменов, использующих топ-10 фишинговых наборов (Kaspersky)
Как подчеркивает охранная фирма, количество сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, постоянно увеличивается.
URL-адреса этих сайтов распространяются по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube, так что будьте осторожны.
Перевод - Google
Bleeping Computer
Современные наборы для фишинга, продаваемые на форумах по киберпреступности в виде готовых пакетов, включают несколько сложных систем предотвращения обнаружения и фильтрации трафика, чтобы гарантировать, что решения для интернет-безопасности не пометят их как угрозу.
В Интернете много поддельных веб-сайтов, имитирующих известные бренды, чтобы заманить жертв и украсть их платежные реквизиты или учетные данные.
Большинство этих веб-сайтов создаются с использованием фишинговых наборов , которые содержат логотипы брендов, реалистичные страницы входа и, в случае расширенных предложений, динамические веб-страницы, собранные из набора базовых элементов.
Расширенный словарь комплекта фишинга (Касперский)Злоумышленники широко используют фишинговые наборы из -за предлагаемой ими автоматизации , поскольку им обычно приходится создавать сотни поддельных сайтов каждый день, чтобы заменить те, которые были обнаружены и заблокированы в предыдущий день.
Однако это не означает, что авторы этих комплектов не прилагают усилий для включения систем защиты от обнаружения, которые помогли бы им оставаться в рабочем состоянии дольше.
Напротив, они используют несколько механизмов, чтобы скрыть свою вредоносную природу от сложных детекторов угроз, и сегодня «Лаборатория Касперского» опубликовала отчет с подробным описанием основных методов.
Как фишинговые наборы остаются скрытыми
Во-первых, фишинговые наборы включают настройки фильтрации посетителей, которые предотвращают вход ботов, программного обеспечения для анализа и гостей из нецелевых местоположений.Сканеры поисковых систем также должны быть заблокированы от доступа к сайту, поскольку размещение слишком высокого места в результатах поиска увеличивает риск разоблачения и приводит к быстрому удалению.
Кроме того, есть варианты обфускации, которые направлены на предотвращение обнаружения инструментами интернет-безопасности.
- Шифр Цезаря - замена каждого символа в тексте на фиксированное количество позиций дальше по алфавиту, чтобы содержимое не имело смысла. При загрузке страницы сдвиг возвращается и отображаются правильные символы.
- Исходная кодировка страницы — кодировка AES или base64 для текста или HTML-кода страницы, что намного мощнее, чем метод Цезаря. Контент декодируется в браузере при загрузке страницы.
- Невидимые HTML-теги . Добавьте много нежелательных HTML-тегов, которые невидимы при отображении страницы в браузере и служат только безобидным «шумом», скрывающим вредоносные части.
- Нарезка строк — разрезание строк на перестраиваемые группы символов и обращение к ним по их номеру в кодовой таблице. Когда страница загружается, строки снова собираются в завершение.
- Рандомизированные атрибуты HTML — добавление большого количества рандомизированных значений атрибутов тегов для эффективного отключения инструментов защиты от фишинга, делая их предположения ненадежными, что приводит к их отклонению.
Ненужные HTML-теги на фишинговом сайте (Kaspersky)
Некоторые из вышеперечисленных приемов также используются для сокрытия украденных данных жертв или кода фишингового комплекта для предотвращения неоплаченных копий и форков.
Меняющийся рынок
«Лаборатория Касперского» сообщает, что в 2021 году она обнаружила 469 отдельных наборов для фишинга, поддерживающих не менее 1,2 миллиона фишинговых веб-сайтов.
Количество уникальных доменов, использующих топ-10 фишинговых наборов (Kaspersky)
Как подчеркивает охранная фирма, количество сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, постоянно увеличивается.
URL-адреса этих сайтов распространяются по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube, так что будьте осторожны.
Перевод - Google
Bleeping Computer
