Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Фишинг с погружением. Как мы втерлись в доверие, прикинувшись разработчиком
Содержание статьи
- Кампания 1
- Кампания 2
- Кампания 3
- Выводы
В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.
Это исследование получило третье место на Pentest Award 2025 в категории «Ловись, рыбка». Соревнование ежегодно проводится компанией Awillix.
Все это происходило в рамках редтиминга и по контракту. Перед началом тестирования заказчик предоставил нам:
- список ключевых технических специалистов компании;
- контактные данные сотрудников: имена, адреса электронной почты, никнеймы в Telegram.
Пока мы готовились, грянула громкая фишинговая атака от Lazarus Group — под удар попала биржа Bybit. После инцидента команда заказчика стала бдительнее.
Кампания 1
Этап разведки показал, что у заказчика почта на Google Workspace (корпоративном Gmail). У Gmail жесткие антиспам‑фильтры, плюс сейчас в Web3 тему фишинга не игнорят. Поэтому мы искали варианты для точечных рассылок с реальных почтовых сервисов сторонних платформ, которыми пользуется заказчик. Письма с легитимных доменов вызывают больше доверия и реже летят в спам.
Когда разобрались со сторонним сервисом для доставки писем, взяли открытую AITM‑платформу Evilginx, слегка адаптировали ее (выпилили пасхалки из кода) и настроили редирект на фишинговую страницу логина Gmail.
В арсенале у нас был Evilginx с кастомным фишлетом для обхода MFA в экосистеме Google: через подход Browser-in-the-Middle он ворует сессионные куки Gmail после ввода кода и умеет обходить и статические, и эвристические проверки Chrome, включая Google Safe Browsing. Фишинговую страницу мы собрали и прогнали на актуальных защитах Chrome и Firefox.
Внешний вид фишинговой страницы авторизации
Чтобы не палиться перед ботами и снизить риск, что домен отметят как фишинговый, мы подняли сервис на Microsoft Azure Functions. Он маскирует фишинговую страницу, обфусцируя JavaScript и редиректы, и злоупотребляет доверием к домену Azure App Service (*.azurewebsites.net).
В редиректоре тоже были «канарейки» (canary links) — ссылки, которые нужны только для фиксации клика. Их использовали для отслеживания взаимодействий вместо других механизмов вроде magic byte.
Чтобы слать письма от домена заказчика, мы использовали встроенный инструмент платформы для email‑уведомлений. Он не ограничивал содержимое, так что через почтовые сервисы заказчика можно было отправлять любые сообщения.
Кампания строилась на рассылке автоматизированных приглашений ключевым сотрудникам компании заказчика с призывом завершить регистрацию. Ниже — образец письма из теста: оно стабильно обходило спам- и контент‑фильтры Gmail.
Пример фишингового письма
На следующий день после рассылки домен пометили как фишинговый, внутреннюю команду предупредили: не открывать ссылки и не вводить данные.
Итог: один клик по ссылке, ноль перехватов данных.
Кампания 2
После провала первой фишинговой кампании мы решили действовать точнее: протестировали несколько сценариев — доставку ссылок на фишлет для Google через Telegram и другие трюки. Но ни один вариант не получился достаточно убедительным.
Мы дополнительно выяснили, какую стороннюю платформу Web3‑аналитики использует заказчик: подсказку нашли в описании вакансии на их сервере Discord.
Дальше мы попытались сыграть на доверии к легитимному сайту. При разборе нашли пачку уязвимостей (их потом передали компании) и утечки внутренней инфы. По ним стало ясно, что сотрудники заказчика авторизуются через Google Workspace SSO: у корпоративных профилей — аватарки из Gmail. На бэкенде торчала устаревшая почтовая служба уведомлений, через нее можно было настраивать боевые каналы оповещения по почте.
Источник: xakep.ru
