Nieuwe cyberdreiging gemeld in InDesign phishing webpagina's

11 maart 2022 - Een nieuwe phishing-techniek ligt op de loer. Hoewel dit type aanval al eerder werd waargenomen, werd het voorheen niet gedetecteerd als een phishing-poging. De techniek bevat namelijk twee belangrijke elementen die het samen bijna onmogelijk maken voor de meeste beveiligingsoplossingen om het te detecteren.

De aanval maakt gebruik van de hostingreputatie van Adobe InDesign en de kwaadaardige link is verborgen in een iframe. Datto’s Threat Research Unit heeft ontdekt en bevestigd dat het om een phishing-poging gaat, waardoor ze deze techniek voor de eerste keer kunnen melden en hopelijk toekomstige aanvalspogingen kunnen voorkomen.

De aanval
Net als veel andere phishing-aanvallen met als doel de inloggegevens van Microsoftgebruikers te achterhalen, wordt deze aanval via e-mail verstuurd. De e-mail lokt de gebruiker uit om op een koppeling te klikken om toegang te krijgen tot een gedeeld document, dat vervolgens leidt naar een legitieme InDesign webpagina die wordt gehost op indd.adobe.com.

De techniek van de aanvallers
Om e-mail beveiligingsoplossingen te omzeilen, maken de aanvallers gebruik van het legitieme Adobe InDesign platform:

1. Het indd.adobe.com domein is een vertrouwd publiek domein. Veel op reputatie gebaseerde beveiligingsoplossingen zouden URL's die naar dit domein leiden niet scannen of zouden het scannen en concluderen dat het veilig is, omdat de indd.adobe.com URL legitiem is. Het hosten van phishing-webpagina's in vertrouwde openbare domeinen zoals GoogleDrive, SharePoint, OneDrive en Dropbox is een bekende truc. Dit is echter de eerste keer dat dit is gedaan door gebruik te maken van het InDesign-domein.

2. De webpagina is ontworpen met InDesign en heeft een aantal specifieke kenmerken die door de kwaadwillenden zijn gebruikt om beveiligingsoplossingen te omzeilen. Het belangrijkste kenmerk is het feit dat de links verborgen zijn in iframes in plaats van als links gemarkeerd te zijn. De meeste phishing-detectie-engines zijn gebouwd om URL's in html te scannen (waar URL's als links worden getagd), en identificeren daarom niet de links in deze kwaadaardige InDesign-webpagina's.

3. Een ander voordeel van het gebruik van het InDesign-platform zijn de verschillende ontwerpmogelijkheden voor social engineering, die de aanvallers helpen om het eruit te laten zien zoals zij willen en de slachtoffers voor de gek te houden.

4. Daar komt nog bij dat de aanvallers de schadelijke URL (waarin om gebruikersgegevens wordt gevraagd) niet in de e-mail zelf hebben opgenomen, maar de indd.adobe.com-pagina hebben gebruikt als een tussenliggende URL die veilig lijkt voor e-mail beveiligingsoplossingen.

Hoe te beschermen?
Phishing wordt steeds geraffineerder en maakt gebruik van steeds geavanceerdere ontwijkingstechnieken. In dit geval hebben de aanvallers het InDesign-platform op drie manieren gebruikt: als vertrouwde host, als ontwerpplatform en om de eigenlijke schadelijke URL voor scanners te verbergen. De combinatie van deze tactieken is wat deze aanval anders maakt dan andere aanvallen en wat hem in staat stelt veel e-mail beveiligingsoplossingen te omzeilen. Helaas maakt dit het leven van zowel de organisaties die hun medewerkers en bedrijfsmiddelen willen beschermen, als de beveiligingsleveranciers die hen daarbij helpen, een stuk moeilijker. Om zich tegen dergelijke bedreigingen en andere opkomende phishingtechnieken te beschermen, moeten organisaties ervoor zorgen dat ze naast hun basisbeveiliging voor e-mail ook bescherming tegen geavanceerde bedreigingen gebruiken; een beveiligingsoplossing die bescherming biedt tegen elke phishingaanval en -techniek, zelfs tegen technieken die nog niet bekend zijn. Het is belangrijk dat de technologie in staat is om onbekende phishing-dreigingen te detecteren bij de eerste keer dat deze worden waargenomen, ongeacht eerdere aanvallen of de reputatie van het domein. Daarnaast moet automatisch elke toepassing in Microsoft 365 bekeken worden. Hoe wordt de toepassing verondersteld te werken? Wat is de definitie van goede en veilige code paths? Deze voorwaarden moeten worden behandeld als de bekende goede staat. Als iets ineens buiten deze standaard werkt – of het nu een potentieel schadelijke koppeling is, of een andere code-uitvoering die buiten de norm valt – moet dit worden geidentificeerd als dreiging. De dreiging kan vervolgens snel geblokkeerd worden om te voorkomen dat het bij de eindgebruiker terechtkomt.
 

Doorsturen  |  Reageer  |  Nieuwsbrief