https://www.idg.se/editorial/980/path/1.727814.1575884127!imageUploader/55666972.jpg

Nytt smart nätfiske – bifogar landningssidan på fil

09 Dec 2019, 10:38

Ett listigt sätt att undvika att skapa falska landningssidor online har upptäckts i en ny nätfiskekampanj. Angriparna bifogar landningssidan som en html-fil med dold javascript.

En nyligen upptäckt nätfiskekampanj använder ett listigt sätt att undvika att skapa och driva landningssidor för att lura av mottagarna deras inloggningsuppgifter, skriver Bleeping Computer.

I normala fall länkar angriparna till en landningssida på nätet som det avgörande steget för att lura av offren deras inloggningsuppgifter. Innan dess ska förstås mottagaren ha gått på bluffen i själva e-postmeddelandet.

Kan gå att spåra angriparna

Det är riskabelt för de cyberkriminella att tillhandahålla sina falska landningssidor online – de kommer förr eller senare att upptäckas och tas bort, det finns en risk att det går att spåra angriparna genom landningssidan, och det är närmast omöjligt för cyberkriminella att komma över äkta domäner – det är nästan alltid något misstänkt med landningssidans url och/eller certifikat.

I en nätfiskekampanj som nyligen upptäckts av buggjägaren Jan Kopriva på ISC har angriparna istället bifogat en html-fil med e-postmeddelandet så att landningssidan genereras direkt av webbläsaren på mottagarens dator. I meddelandet står att mottagaren tagit emot en kopia av ett betalningsmeddelande ”Please find attached a copy of your payment notification" och den bifogade filen heter ”payment.html”.

I stället för att skicka mottagaren till en sajt

Html-filen innehåller en stor mängd dold eller förvrängd javascript-kod, och det är naturligtvis den som är hemligheten i detta upplägg. När mottagaren öppnar html-filen skapar javascriptet ett loginformulär till ”Microsoft Docs” direkt i användarens webbläsare istället för att skicka mottagaren till en sajt.

Inloggningsformuläret låter användaren logga in med flera olika inloggningsalternativ som Gmail, Office365, Yahoo och Hotmail. När användaren klickar på Login skickar javascriptet i bakgrunden iväg inloggningsuppgifterna till en server, utan att användaren märker något. Efter detta blir mottagaren länkad till en sajt som visar ett falskt betalningsmeddelande. Det senare är dock något av ett mysterium då angriparna lika väl kunde ha skapat betalningsmeddelandet med hjälp av javascript-koden och en base64-kodad bild i den bifogade filen.

Läs också:
Black Friday högsäsong för nätfiske – här är e-handlarna som inte skyddar kunderna
Ny kampanj fiskar Office 365-administratörer