Злоумышленники используют платформу Bubble для обхода систем защиты

«Лаборатория Касперского» обнаружила новую схему кибератак: злоумышленники начали использовать платформу Bubble — сервис для разработки веб- и мобильных приложений без написания кода — для создания промежуточных онлайн-ресурсов, с которых пользователь попадает на фишинговый сайт. Конечная цель — кража учетных данных для входа на корпоративные ресурсы. Угроза может коснуться бизнеса любого масштаба, включая небольшие предприятия.

Как поясняют эксперты, атака начинается с письма на корпоративную почту сотрудника. В сообщении говорится о необходимости ознакомиться или подписать некий документ в рамках рабочего документооборота. В письме содержится ссылка, по которой якобы нужно перейти, чтобы открыть нужный текст.

Суть новой техники заключается в следующем. Платформа Bubble позволяет описывать необходимую функциональность и генерировать готовое решение, например сайт. Готовый ресурс размещается в инфраструктуре Bubble и получает доверенный домен bubble.io. Злоумышленники создают легитимное веб-приложение на этой платформе, с которого осуществляется автоматический редирект жертвы на убедительную подделку страницы для входа в сервисы Microsoft, защищенную проверками Cloudflare. Если пользователь вводит на ней свой логин и пароль, данные попадают в руки мошенников.

Особенность схемы — использование доверенного домена. Мошенники делают ставку на то, что ссылка на ресурс, размещенный на известной платформе, может пройти проверку безопасности внутренних систем компаний, тогда как традиционные фишинговые ссылки обычно блокируются современными средствами защиты.

«В традиционных фишинговых атаках обычно используются вредоносные ссылки или очевидные методы перенаправления, которые, как правило, обнаруживаются и блокируются современными системами безопасности. Однако теперь злоумышленники используют бескодовую среду Bubble для создания промежуточных веб-приложений, размещенных в легитимной инфраструктуре платформы и на доверенных доменах. Это повышает их достоверность и свидетельствует об эволюции тактик злоумышленников с целью обхода блокировок. В результате как самим пользователям, так и автоматическим системам становится все сложнее отличать безопасный контент от вредоносного», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.

Специалисты рекомендуют компаниям усилить бдительность: обучать сотрудников правилам цифровой гигиены, обращать внимание на домены ссылок в письмах, даже если они выглядят доверенными, и использовать современные средства защиты, способные распознавать сложные многоступенчатые фишинговые схемы.

Фото из открытых источников