T1598.002: ЦІЛЬОВЕ ВКЛАДЕННЯ
Зловмисники надсилають листи з прикріпленими файлами, які на перший погляд виглядають як звичайні бізнес-документи: анкети, опитувальники, звіти або форми для звітності. Мета — змусити користувача заповнити файл конфіденційними даними (паролями, технічними деталями мережі, персональними даними) і надіслати його назад, або ж використати файл як прикриття для завантаження фейкової форми входу в систему.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть надсилати повідомлення цільового фішингу (spearphishing) зі шкідливим вкладенням для виманювання чутливої інформації, яка може бути використана під час вибору цілі. Такий фішинг — це спроба обманом змусити ціль розкрити дані, найчастіше облікові дані або іншу корисну інформацію. Він часто включає методи соціальної інженерії, такі як видавання себе за джерело з важливою причиною для збору даних (наприклад, для створення чи компрометації акаунтів) та/або надсилання кількох, здавалося б, термінових повідомлень.
Усі форми цільового фішингу — це електронна соціальна інженерія, спрямована на конкретну особу, компанію чи галузь. У цьому сценарії зловмисники додають файл до фішингового листа. У деяких випадках вони розраховують на те, що одержувач заповнить інформацію, а потім поверне файл. Текст листа зазвичай намагається надати правдоподібну причину, чому файл має бути заповнений, наприклад, запит на інформацію від бізнес-партнера.
В інших випадках зловмисники можуть використовувати такі методи, як HTML Smuggling, для збору облікових даних користувачів через підроблені портали входу. Зловмисники також можуть використовувати інформацію з попередніх етапів розвідки (наприклад, пошук на відкритих вебсайтах або сайтах жертви), щоб створити переконливі та правдоподібні приманки.
Як працює ця пастка?
- Добровільне розкриття: На відміну від шпигунського ПЗ, яке краде дані потайки, тут хакер просто просить вас їх надати. Ви можете самі вписати в Excel-таблицю IP-адреси серверів, ПІБ адмінів або графіки чергувань, вважаючи, що це офіційний запит від партнера.
- HTML Smuggling (Контрабанда HTML): Хакер надсилає .html файл (наприклад, “Invoice.html”). Коли ви його відкриваєте, браузер виконує локальний JavaScript-код, який “збирає” шкідливий файл або фішингову сторінку прямо у вашому браузері. Оскільки файл не завантажується з інтернету, а створюється локально, антивіруси на шлюзах часто його пропускають.
- Експлуатація контексту: Якщо компанія зараз проходить аудит, лист із вкладенням “Форма_аудиту_безпеки.docx” не викличе підозр, навіть якщо він прийшов із дещо зміненої адреси (наприклад, audit@partner-org.ua замість partner.ua).
Популярні типи вкладень:
- PDF/Word форми: Анкети, які потрібно заповнити та відіслати назад.
- HTML/SHTML файли: Сторінки, що імітують вікно входу в систему (Outlook, Google Drive).
- Excel з макросами: Хоча Microsoft обмежує макроси, зловмисники все ще використовують їх, щоб «автоматизувати» процес збору та відправки даних з комп’ютера жертви.
Як захиститися?
- Перевірка відправника: Завжди звертайте увагу на домен пошти. Якщо партнер завжди писав з одного домену, а тепер пише з іншого (навіть схожого) — це тривожний сигнал.
- Дзвінок для підтвердження: Якщо ви отримали неочікуваний запит на надання чутливих даних у файлі, зателефонуйте відправнику через перевірений канал зв’язку та уточніть, чи він справді надсилав цей запит.
- Блокування небезпечних розширень: На рівні поштового шлюзу (SEG) блокуйте або поміщайте в карантин вкладення типів .html, .htm, .iso, .img, які рідко використовуються в нормальному діловому листуванні.
- Захист від HTML Smuggling: Використовуйте сучасні системи захисту кінцевих точок (EDR), які вміють аналізувати підозрілу активність браузера під час відкриття локальних HTML-файлів.