سوء استفاده از SuperMailer امنیت ایمیل را برای سرقت اطلاعات بسیار بزرگ دور می زند

دروازه های ایمیل امن و کاربران نهایی به طور یکسان فریب یک کمپین حمله سایبری را می خورند که از حجم سرسام آور علیه مشاغل در هر صنعتی در سطح جهانی لذت می برد.

23 مه 2023

منبع: Cultura Creative RF via Alamy Stock Photo

یک کمپین جمع آوری اعتبار با حجم بالا از یک برنامه خبرنامه ایمیل قانونی به نام SuperMailer استفاده می کند تا تعداد قابل توجهی از ایمیل های فیشینگ را که برای فرار از حفاظت های دروازه ایمیل (SEG) طراحی شده اند، منفجر کند.

بر اساس گزارشی از Cofense در 23 مه، این کمپین به قدری گلوله برفی داشته است که ایمیل های ایجاد شده توسط SuperMailer 5 درصد از کل فیش های اعتبارسنجی را در ماه می تا کنون تشکیل می دهند. به نظر می رسد این تهدید به طور تصاعدی در حال افزایش است: حجم ماهانه فعالیت به طور کلی در سه ماه از چهار ماه گذشته بیش از دو برابر شده است - حتی در منظره ای که فیشینگ اعتباری به طور کلی در حال رشد است.

براد هاس، تحلیلگر اطلاعات تهدیدات سایبری در Cofense و نویسنده این تحقیق توضیح داد: «با ترکیب ویژگی های سفارشی سازی SuperMailer و قابلیت های ارسال با تاکتیک های فرار، عوامل تهدید در پشت این کمپین ایمیل های مناسب و با ظاهری قانونی را به صندوق های ورودی در هر صنعت تحویل داده اند.

و در واقع، Cofense گزارش می دهد که بازیگران تهدید پشت این فعالیت شبکه گسترده ای ایجاد کرده اند، به امید اینکه قربانیان را در دریای متنوعی از صنایع، از جمله ساخت و ساز، کالاهای مصرفی، انرژی، خدمات مالی، خدمات غذایی، دولت، مراقبت های بهداشتی، اطلاعات وتجزیه و تحلیل، بیمه، تولید، رسانه، معدن، خدمات حرفه ای، خرده فروشی، فناوری، حمل و نقل، و خدمات آب و برق.

فیشینگ بزرگ با SuperMailer

هاس به Dark Reading می گوید: چیزی که این اعداد را جالب تر می کند این واقعیت است که SuperMailer یک محصول خبرنامه مبتنی بر آلمان تا حدودی مبهم است که به اندازه تولید کنندگان ایمیل شناخته شده مانند ExpertSender یا SendGrid نیست - با این حال هنوز هم به طور گسترده عقب است. مجموعه ای از ایمیل های مخرب

او می گوید: «SuperMailer یک نرم افزار دسک تاپ است که می توان آن را به صورت رایگان یا با هزینه ای اسمی از تعدادی از سایت هایی که ممکن است کاملاً با توسعه دهنده ارتباطی ندارند دانلود کرد."نسخه رایگان SuperMailer در سال 2019 در CNET منتشر شد و از آن زمان تاکنون تقریباً 1700 بار دانلود شده است. این تعداد در مقایسه با بسیاری از دانلودهای نرم افزار محبوب کم است، اما ما هیچ اطلاعات دیگری در مورد تعداد کاربران قانونی سازمانی نداریم."

SuperMailer بلافاصله به درخواست Dark Reading برای اظهار نظر پاسخ نداد. اما از آنجا که مشتری ها از طریق وب سایت های شخص ثالث تبلیغ می شوند و هیچ سرور یا مؤلفه ای از ابری ندارند ، هااس خاطرنشان می کند که دستهای استعاره SuperMailer هنگام ریشه کن کردن فعالیت گره خورده است.

وی می گوید: "در گذشته ، ما شاهد سرویس های بزرگ و مبتنی بر ابر بودیم که برای ارسال ایمیل های فیشینگ یا ایجاد تغییر مسیر URL منحصر به فرد با اشاره به صفحات فیشینگ مورد سوءاستفاده قرار گرفته اند ، اما این سرویس ها اغلب بعد از یک دوره زمانی ، فعالیت را می گیرند و مبارزه می کنند.""ما نمی دانیم که تا چه اندازه توسعه دهنده SuperMailer قادر به مبارزه با این سوءاستفاده است."

این به خودی خود باعث می شود SuperMailer برای مجرمان سایبری جذاب باشد. اما دلیل دیگر این است که به لطف برخی از ویژگی های منحصر به فرد ، یک لباس مجلل جذاب را برای گذر از SEGS و در نهایت کاربران نهایی ارائه می دهد.

فرار از امنیت ایمیل با سهولت

هاس خاطرنشان می کند: "این نمونه دیگری از بازیگران تهدید سوء استفاده از ابزارهایی است که برای اهداف قانونی طراحی شده اند."وی می گوید: "این در حال حاضر در عرصه آزمایش نفوذ اتفاق می افتد ، جایی که ابزارهای آزمایش نفوذ منبع باز به طور مرتب توسط بازیگران تهدید مورد سوء استفاده قرار می گیرند تا فعالیت واقعی تهدید را انجام دهند."

در این حالت ، SuperMailer سازگاری با چندین سیستم ایمیل را ارائه می دهد ، که به بازیگران تهدید اجازه می دهد تا عملکرد ارسال خود را در چندین سرویس گسترش دهند - این خطر را کاهش می دهد که یک سرور ایمیل SEG یا بالادست به دلیل شهرت ، ایمیل ها را به عنوان ناخواسته طبقه بندی کند.

هاس در گزارش خود در مورد تهدید نوشت: "بازیگران تهدید احتمالاً به انواع حساب های به خطر افتاده دسترسی دارند و از ویژگی های ارسال SuperMailer برای چرخش از طریق آنها استفاده می کنند."

کمپین های تولید شده توسط ابرقهرمانان نیز از ویژگی های سفارشی سازی الگو استفاده می کنند ، مانند امکان جمع آوری خودکار نام ، ایمیل ، نام سازمانی ، زنجیرهای پاسخ ایمیل و موارد دیگر-همه اینها مشروعیت ایمیل را برای اهداف تقویت می کند.

این نرم افزار همچنین Flag Redirects را باز نمی کند - صفحات وب مشروع که به طور خودکار به هر URL که به عنوان یک پارامتر موجود است هدایت می شود. این به بازیگران بد اجازه می دهد تا از URL های کاملاً مشروع به عنوان پیوندهای فیشینگ مرحله اول استفاده کنند.

هاس در این گزارش گفت: "اگر یک SEG از تغییر مسیر پیروی نکند ، فقط محتوا یا شهرت وب سایت مشروع را بررسی می کند.""اگرچه تغییر مسیر باز به طور کلی ضعف محسوب می شود ، اما اغلب می توان آنها را حتی در سایت های با مشخصات بالا یافت. به عنوان مثال ، کمپین هایی که ما مورد تجزیه و تحلیل قرار دادیم از یک تغییر مسیر باز در یوتیوب استفاده می کردند."

دفاع در برابر تهدید ابرقدرت

Cofense به لطف یک اشتباه برنامه نویسی که مهاجمان هنگام تهیه الگوهای ایمیل انجام داده اند ، توانسته است فعالیت SuperMailer را ردیابی کند: ایمیل ها همه شامل یک رشته منحصر به فرد هستند که نشان می دهد آنها توسط SuperMailer تولید شده اند. با این حال ، تجزیه پیام برای آن رشته یا مسدود کردن گسترده تر کل خدمات پستی مشروع ، پاسخی نیست.

هاس می گوید: "ما هنوز هیچ ویژگی پیش فرض را کشف نکرده ایم که به ما امکان می دهد ایمیل های تولید شده توسط SuperMailer را مسدود کنیم.""در این حالت ، ویژگی های قابل شناسایی فقط به دلیل اشتباه توسط بازیگر تهدید قابل کشف بودند. بدون این اشتباه ، امکان پذیر نخواهد بود ، زیرا این خصوصیات در هر ایمیل ابررسانا قابل مشاهده نیست."

با این حال ، وی خاطرنشان می کند که ویژگی های دیگری نیز وجود دارد که ایمیل ها را به عنوان تهدیدهای امنیتی بالقوه ، حتی بدون دانستن منشأ آنها - از جمله محتوای آنها - معرفی می کند. یک مثال می تواند زنجیرهای پاسخ به ایمیل خاص غیر هدفمند به پیام ها باشد.

این امر به ویژه با توجه به اینکه Cofense کشف کرده است که Phishes SuperMailer بخشی از مجموعه فعالیت های بزرگتر است که 14 ٪ کامل از ایمیل های فیشینگ را در ماه مه در تله متری Cofense به حساب می آورد. هااس توضیح داد که همه ایمیل ها-SuperMailer-Sent و سایر موارد-شاخص های خاصی را دارند که همه آنها را به هم گره می زنند ، مانند استفاده از تصادفی URL.

هاس می گوید: "شهود بشر اغلب در تشخیص این اختلافات بسیار بهتر است." بنابراین آموزش کارمندان برای هوشیاری در برابر تهدیدات فیشینگ یک عنصر مهم دفاع سایبری خوب است. "

با آخرین تهدیدات امنیت سایبری ، آسیب پذیری های تازه کشف شده ، اطلاعات نقض داده ها و روندهای نوظهور همراه باشید. روزانه یا هفتگی به صندوق ورودی ایمیل خود تحویل داده می شود.