Các tin tặc đang tận dụng các trang web xuất bản tài liệu kỹ thuật số (DDP) được lưu trữ trên các nền tảng như FlipSnack, Issuu, Marq, Publuu, RelayTo và Simplebooklet để thực hiện lừa đảo, thu thập thông tin xác thực và đánh cắp mã thông báo phiên, một lần nữa nhấn mạnh cách các tác nhân đe dọa đang tái sử dụng các dịch vụ hợp pháp cho các mục đích độc hại.
"Lưu trữ mồi lừa đảo trên các trang web DDP làm tăng khả năng tấn công lừa đảo thành công, vì các trang web này thường có danh tiếng thuận lợi, không có khả năng xuất hiện trong danh sách chặn bộ lọc web và có thể thấm nhuần cảm giác an toàn sai lầm ở những người dùng nhận ra chúng là quen thuộc hoặc hợp pháp", nhà nghiên cứu Craig Jackson của Cisco Talos cho biết tuần trước.
Trong khi các đối thủ đã sử dụng các dịch vụ dựa trên đám mây phổ biến như Google Drive, OneDrive, Dropbox, SharePoint, DocuSign và Oneflow để lưu trữ các tài liệu lừa đảo trong quá khứ, sự phát triển mới nhất đánh dấu sự leo thang được thiết kế để trốn tránh các biện pháp kiểm soát bảo mật email.
Dịch vụ DDP cho phép người dùng tải lên và chia sẻ các tệp PDF ở định dạng sách lật tương tác dựa trên trình duyệt, thêm hoạt ảnh lật trang và các hiệu ứng skeuomorphic khác vào bất kỳ danh mục, tài liệu quảng cáo hoặc tạp chí nào.
Hơn nữa, các tính năng năng suất được đưa vào các trang web DDP như Publuu có thể hoạt động như một biện pháp ngăn chặn, ngăn chặn việc trích xuất và phát hiện các liên kết độc hại trong các tin nhắn lừa đảo.
Trong các sự cố được phân tích bởi Cisco Talos, các trang web DDP được tích hợp vào chuỗi tấn công ở giai đoạn thứ cấp hoặc trung gian, thường bằng cách nhúng liên kết đến tài liệu được lưu trữ trên trang DDP hợp pháp trong email lừa đảo.
Tài liệu được lưu trữ DDP đóng vai trò là cổng vào một trang web bên ngoài, do đối thủ kiểm soát trực tiếp bằng cách nhấp vào liên kết có trong tệp mồi nhử hoặc thông qua một loạt các chuyển hướng cũng yêu cầu giải CAPTCHA để ngăn chặn các nỗ lực phân tích tự động.
Trang đích cuối cùng là một trang web không có thật bắt chước trang đăng nhập Microsoft 365, do đó cho phép kẻ tấn công đánh cắp thông tin xác thực hoặc mã thông báo phiên.
"Các trang web DDP có thể đại diện cho một điểm mù cho những người bảo vệ, bởi vì chúng không quen thuộc với người dùng được đào tạo và không có khả năng bị gắn cờ bởi các điều khiển lọc email và nội dung web", Jackson nói.
"Các trang web DDP tạo ra lợi thế cho các tác nhân đe dọa đang tìm cách ngăn chặn các biện pháp bảo vệ lừa đảo hiện đại. Các tính năng và lợi ích tương tự thu hút người dùng hợp pháp vào các trang web này có thể bị lạm dụng bởi các tác nhân đe dọa để tăng hiệu quả của một cuộc tấn công lừa đảo.