هجمات تصيد احتيالي عبر استغلال مواقع نشر المستندات الشهيرة

تؤدي استضافة إغراءات #التصيد_الاحتيالي على مواقع DDP إلى زيادة احتمالية نجاح هجوم #التصيد_الاحتيالي

الكاتب : admin

20 مارس 2024

تستفيد الجهات الفاعلة في مجال التهديد من مواقع نشر #المستندات_الرقمية (DDP) المستضافة على منصات مثل FlipSnack وIssuu وMarq وPubluu وRelayTo وSimplebooklet لتنفيذ عمليات #التصيد_الاحتيالي وجمع بيانات الاعتماد وسرقة الرموز المميزة للجلسة، مما يسلط الضوء مرة أخرى على كيفية قيام الجهات الفاعلة في مجال التهديد بإعادة استخدام الخدمات المشروعة لغايات خبيثة.

"تؤدي استضافة إغراءات #التصيد_الاحتيالي على مواقع DDP إلى زيادة احتمالية نجاح هذا الهجوم، نظرًا لأن هذه المواقع غالبًا ما تتمتع بسمعة طيبة. ومن غير المرجح أن تظهر في قوائم حظر عوامل تصفية الويب وقد تغرس إحساسًا زائفًا بالأمان لدى #المستخدمين الذين يتعرفون عليها على أنها مألوفة.

وتتيح خدمات DDP للمستخدمين تحميل ملفات PDF ومشاركتها بتنسيق دفتر صور متحركة تفاعلي يعتمد على المتصفح، وإضافة رسوم متحركة لقلب الصفحة وغيرها من التأثيرات المجسمة إلى أي كتالوج أو كتيب أو مجلة.

وقد تم العثور على جهات التهديد التي تسيء استخدام الطبقة المجانية أو الفترة التجريبية المجانية التي تقدمها هذه الخدمات لإنشاء حسابات متعددة ونشر مستندات ضارة. وإلى جانب استغلال سمعتهم المفضلة في المجال، يستفيد #المهاجمون من حقيقة أن مواقع DDP تسهل استضافة الملفات العابرة، مما يسمح للمحتوى المنشور بأن يصبح غير متاح تلقائيًا بعد تاريخ ووقت انتهاء الصلاحية المحددين مسبقًا.

علاوة على ذلك، فإن ميزات الإنتاجية المضمنة في مواقع DDP مثل Publuu يمكن أن تكون بمثابة رادع، وتمنع استخراج #الروابط_الضارة واكتشافها في #رسائل_التصيد_الاحتيالي.

وتم دمج مواقع DDP في سلسلة الهجوم في المرحلة الثانوية أو المتوسطة، عادةً عن طريق تضمين رابط إلى مستند مستضاف على موقع DDP شرعي في رسالة بريد إلكتروني للتصيد الاحتيالي، وفقاًللحوادث التي حللتها Cisco Talos،

تعمل الوثيقة المستضافة بواسطة DDP كبوابة إلى موقع خارجي يسيطر عليه الخصم، إما مباشرة عن طريق النقر على الرابط المضمن في الملف الخادع، أو من خلال سلسلة من عمليات إعادة التوجيه التي تتطلب أيضاً حل اختبارات CAPTCHAلإحباط جهود التحليل الآلي.

وتعتبر الصفحة المقصودة النهائية عبارة عن موقع مزيف يحاكي صفحة تسجيل الدخول إلى Microsoft 365، مما يسمح للمهاجمين بسرقة بيانات الاعتماد أو الرموز المميزة للجلسة.