Перейти к содержанию

Применение Google Apps Script в фишинге | Блог Касперского


Рекомендуемые сообщения

Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.

Что такое Apps Script и как его используют злоумышленники

Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.

В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:

  1. Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией.
  2. Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений.
  3. Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона).

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Если вы пользуетесь приложением-аутентификатором, то на случай потери (поломки, кражи и так далее) телефона разумно заранее создать резервную копию. Это можно сделать несколькими способами — выбор зависит от ваших личных предпочтений, а также от того, каким именно приложением-аутентификатором вы собираетесь пользоваться. Перечислим все доступные варианты.
      Вручную сохранить в надежном месте секретные ключи или QR-коды
      Одноразовые коды в приложении-аутентификаторе создаются на основе секретного ключа. Его генерирует сервис, когда вы включаете аутентификацию с помощью приложения. Этот ключ представляет собой случайное сочетание 16 символов, и он же закодирован в QR-коде, который сервис предлагает вам отсканировать.
      В принципе, секретный ключ можно даже выучить наизусть, но проще всего будет сохранить его в каком-нибудь надежном месте. Например, для этого подойдут защищенные заметки в менеджере паролей. Альтернативный вариант представления того же секретного ключа, QR-код, можно сохранить в виде изображения и также поместить в защищенное хранилище Kaspersky Password Manager, но уже в виде картинки.
      Если вам когда-нибудь понадобится восстановить аутентификатор, вы просто отсканируете приложением QR-код или введете вручную 16 символов секретного ключа.
       
      View the full article
    • От KL FC Bot
      Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.
      Угрозы серверам под Linux
      Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.
      В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном. Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram. Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты. Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».
       
      View the full article
    • От KL FC Bot
      Задача любого защитного решения — обеспечивать безопасность системы и сообщать пользователю об угрозах. А что делать, если вместо зловреда антивирус блокирует безобидную программу или без причины бьет тревогу во время сканирования? Возможно, вы столкнулись с ложноположительным срабатыванием.
      Как показывают независимые тесты, наши решения крайне редко поднимают ложную тревогу, но иногда такое все же случается. В таком случае не нужно отключать антивирус — это поставит ваш компьютер под угрозу. Лучше добавить приложение, в котором вы уверены, в список исключений. Рассказываем, как это сделать в решениях «Лаборатории Касперского» для домашних пользователей.
      В чем разница между доверенными программами и добавлением в исключения
      Мы хотим, чтобы пользователям было удобно работать с нашими программами. Поэтому в наших самых популярных решениях — Kaspersky Internet Security, Kaspersky Total Security и Kaspersky Security Cloud — исключения настраиваются одинаково. Но прежде чем перейти к подробным инструкциям, позволим себе отступление, чтобы вам было легче понять, что именно вы будете делать дальше.
      Современные защитные решения подходят к защите комплексно: они не только проверяют (при антивирусном сканировании и перед запуском), нет ли чего-то вредоносного в коде программ, но еще и следят за подозрительными действиями установленных в системе программ.
      Такие дополнительные проверки нужны потому, что злоумышленники в стремлении обойти защиту иногда засылают на компьютеры вполне безобидные приложения, которые позже скачивают более опасных товарищей, а также создают зловредов, которые долго «спят», прежде чем начать подрывную деятельность.
      Поэтому наши разработчики разделили настройки для этих двух типов проверок:
      Чтобы антивирус не блокировал запуск приложения из-за подозрительных действий, надо сделать его доверенной программой. А чтобы антивирус перестал ругаться на программу при сканировании, ее надо добавить в исключения. Теперь подробнее о том, где и как можно настроить обе эти опции в Kaspersky Internet Security, Kaspersky Total Security или Kaspersky Security Cloud.
       
      View the full article
    • От KL FC Bot
      Компании одна за другой задумываются об организации постпандемийного рабочего режима для своих сотрудников. Хотя во многих организациях окончательного решения на этот счет еще не принято, даже частичный выход с «удаленки» требует от IT-отделов и отделов информационной безопасности определенных действий.
      Переходить на работу из дома было тяжело, но, как ни парадоксально, возвращение в офис может оказаться ничуть не легче. Компаниям придется откатить некоторые изменения, что по сложности будет сравнимо с их внедрением. Необходимо будет повторно убедиться в безопасности внутренних сервисов и обеспечить сотрудников удобными инструментами (теми, к которым они привыкли за время карантина, или разумными аналогами). Потребуется учесть множество деталей. Чтобы помочь компаниям расставить приоритеты, мы составили рекомендации, касающиеся корпоративной кибербезопасности.
      1. Сохраните временные решения по обеспечению кибербезопасности, сопровождавшие удаленную работу
      Чтобы защищать корпоративную инфраструктуру при массовой удаленной работе, компании, скорее всего, прибегали к дополнительным защитным мерам: внедряли дополнительные проверки, организовывали централизованное управление установкой исправлений на удаленные компьютеры, настраивали VPN-соединение, организовывали тренинги по кибербезопасности. Агенты обнаружения и реагирования на удаленных устройствах играли важную роль, заполняя появившиеся пробелы в системах безопасности периметра.
      Эти практики следует перенести и на гибридный режим работы, когда сотрудники часто перемещаются между домом и офисом или ездят в командировки. Настройка на конечных устройствах VPN, EDR-решений и IDS-систем гарантирует сотрудникам компании защиту независимо от места их работы.
       
      View the full article
    • От KL FC Bot
      Некоторое время назад многие СМИ, пишущие на тему информационной безопасности, рассказывали о масштабных DDoS-атаках при помощи нового ботнета Mēris. Мощность его атак доходила до 22 миллионов запросов в секунду (Requests Per Second). Согласно исследованию компании Qrator изрядную часть трафика этого ботнета генерировали сетевые устройства компании MikroTik.
      В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.
      Почему устройства MikroTik участвуют в ботнете
      Несколько лет назад, в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки. Несмотря на то, что уязвимость была закрыта еще в 2018 году, обновились далеко не все.
      Кроме того, даже среди обновившихся не все последовали рекомендациям производителя по смене паролей. Если пароль не сменить, то даже после обновления прошивки до последней версии остается вероятность того, что злоумышленники зайдут на роутер со старым паролем и вновь начнут использовать его для преступной деятельности.
      Как следует из поста MikroTik — сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018. Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.
       
      View the full article
×
×
  • Создать...