Phishing napadi su vrsta prevare društvenog inženjeringa u kojoj napadači prevare žrtve da otkriju osjetljive informacije.
U phishing napadima, napadači se često lažno predstavljaju kao pouzdani subjekti kao što su banke ili kompanije u e-mailovima, tekstovima ili pozivima kako bi prevarili žrtve da kliknu na zlonamjerne veze ili priloge.
Istraživači kibernetičke sigurnosti u OSINTMATTER-u nedavno su upozorili putnike na phishing napade na temu Booking[.]com .
Booking.com tematski phishing napadi
Sofisticirani phishing napad cilja na “Booking[.]com” narušavajući račune menadžera hotela kako bi prevarili klijente.
Ovdje haker koristi lažni domen (extraknet-booking[.]com) koji imitira legitimni „extranet-booking.com“.
Oni koriste JavaScript zamagljivanje koristeći parseInt za kodiranje nizova koji uključuju „ćirilični tekst“ („zagruženo“ ili „učitano“), što možda ukazuje na porijeklo ruskog govornog područja.
Istraživači su upozorili da napad koristi SEO trovanje kako bi povećao rangiranje zlonamjernih stranica u rezultatima pretraživanja.
Primjetno je da su zahtjevi za povezivanjem “238 STUN” (uslužni programi za prelazak sesije za NAT) identifikovani korištenjem nestandardnih visokih portova za potencijalnu eksfiltraciju podataka ili održavanje komunikacije sa narušavanjem sistemima.
Ovaj napad je povezan s Ninja Trojancem jer pripada jednom od složenih zlonamjernih programa koji mogu izbjeći otkrivanje učitavanjem u memoriju. Među njima su desetine lokacija povezanih sa skriptama phishing stranice.
Ova tehnika koristi “UDP probijanje rupa”, što omogućava prodiranje NAT zaštitnih zidova i pomaže da se kompromituju interne mreže cilja.
Ovaj sofisticirani pristup kombinuje nekoliko tehničkih elemenata za stvaranje visoko efikasne pretnje koja se razvija.
Sofisticirani phishing napad na Booking[.]com koristio je napredne tehnike kako bi izbjegao otkrivanje i povećao utjecaj.
U svojoj srži, napad je koristio dinamičko maskiranje koje je omogućilo napadačima da prikažu ili zlonamjerni lažni portal, originalnu Booking[.]com stranicu ili stranice s greškama, ovisno o faktorima kao što su IP adresa i postavke pretraživača.
Infrastruktura napada uključivala je lažni domen (extraknet-booking[.]com) i koristila je JavaScript zamagljivanje da bi sakrio zlonamjerni kod. STUN binding zahtjevi i UDP bušenje rupa korišteni su za održavanje trajnog pristupa.
Kritična komponenta bio je iFrame povezan sa stotinama drugih stranica za krađu identiteta koje su djelovale kao centralizirano čvorište za distribuciju zlonamjernog sadržaja.
Ovaj iFrame, koji ukazuje na httxxx://ls.cdn-gw-dv[.]vip/+dedge/zd/zd-service[.]html, omogućava centralizovanu kontrolu, širok domet i praćenje efikasnosti napada.
Stranice za krađu identiteta pokazale su različita ponašanja tokom testiranja, poput vremenskih ograničenja i 404 greške koje su postignute putem RST injekcije.
Ovdje sofisticiranost napada sugeriše vezu sa zlonamjernim softverom “Ninja” Trojan.
Činilo se da je primarni cilj zaraziti uređaje hotelskih menadžera, vjerovatno kao preteča eksploatacije Booking[.]com-ovog chat sistema za distribuciju zlonamjernih linkova klijentima u narednoj fazi napada.
Izvor: CyberSecurityNews
