Nadużycie Bubble w phishingu na konta Microsoft. Jak legalna platforma no-code wspiera kradzież poświadczeń - Security Bez Tabu

Nadużycie Bubble w phishingu na konta Microsoft. Jak legalna platforma no-code wspiera kradzież poświadczeń

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej sięgają po legalne platformy chmurowe i narzędzia no-code, aby ukrywać elementy swojej infrastruktury phishingowej. Jednym z najnowszych przykładów jest wykorzystanie Bubble — platformy do tworzenia aplikacji webowych — jako pośredniego ogniwa w kampaniach wymierzonych w użytkowników usług Microsoft. W tym modelu ataku fałszywa strona logowania nie musi być osadzona bezpośrednio na podejrzanej domenie, ponieważ ofiara najpierw trafia na aplikację działającą w zaufanym środowisku.

Taka metoda zwiększa wiarygodność linków rozsyłanych w wiadomościach phishingowych i utrudnia działanie tradycyjnych mechanizmów filtrujących. Dla obrońców oznacza to konieczność dokładniejszej analizy nie tylko samej domeny, ale także zachowania strony po kliknięciu oraz pełnego łańcucha przekierowań.

W skrócie

Atakujący tworzą aplikacje w Bubble i wykorzystują je jako warstwę pośrednią pomiędzy wiadomością e-mail a właściwą stroną wyłudzającą dane logowania do kont Microsoft. Dzięki temu link wygląda bardziej wiarygodnie, ponieważ prowadzi do legalnej infrastruktury platformy no-code.

  • zaufana domena zwiększa szansę na ominięcie filtrów pocztowych,
  • rozbudowany kod JavaScript i użycie Shadow DOM utrudniają analizę,
  • użytkownik jest przekierowywany do fałszywego panelu logowania Microsoft,
  • celem kampanii jest kradzież poświadczeń do Microsoft 365 i przejęcie dostępu do zasobów firmowych.

Kontekst / historia

Phishing od dawna ewoluuje od prostych stron HTML osadzanych na jednorazowych domenach do wieloetapowych kampanii korzystających z legalnych usług internetowych. Rozwój modelu phishing-as-a-service sprawił, że przestępcy zyskali dostęp do gotowych paneli administracyjnych, szablonów wiadomości, funkcji ukrywania infrastruktury oraz mechanizmów obchodzenia zabezpieczeń.

Wykorzystanie platform no-code jest logicznym etapem tej ewolucji. Narzędzia takie jak Bubble pozwalają szybko tworzyć i hostować aplikacje bez konieczności ręcznego programowania. Z perspektywy systemów bezpieczeństwa link prowadzący do aplikacji osadzonej w rozpoznawalnym ekosystemie może wyglądać znacznie mniej podejrzanie niż klasyczny adres prowadzący do świeżo utworzonej domeny.

To zjawisko wpisuje się w szerszy trend nadużywania legalnych usług chmurowych do prowadzenia kampanii phishingowych. Przestępcy korzystają z reputacji renomowanych platform, aby zwiększyć skuteczność dostarczenia wiadomości i utrudnić szybkie wykrycie całego łańcucha ataku.

Analiza techniczna

Mechanizm ataku opiera się na kilku warstwach ukrywania i obejścia detekcji. Pierwsza dotyczy reputacji. Zamiast kierować ofiarę bezpośrednio na stronę phishingową, napastnicy umieszczają w wiadomości e-mail odnośnik prowadzący do aplikacji utworzonej w Bubble. Taki adres częściej przechodzi przez mechanizmy ochrony poczty, ponieważ bazuje na legalnej infrastrukturze.

Druga warstwa związana jest z techniczną konstrukcją aplikacji. Kod generowany przez platformy no-code bywa rozbudowany, wielowarstwowy i trudny do szybkiej analizy. W opisywanym scenariuszu istotną rolę odgrywają duże pakiety JavaScript oraz wykorzystanie Shadow DOM, co utrudnia zarówno ręczny przegląd logiki strony, jak i pracę automatycznych silników klasyfikacyjnych. W efekcie złośliwy redirector może zostać ukryty wśród dużej ilości legalnie wyglądającego kodu.

Trzecia warstwa to właściwe przekierowanie. Po wejściu na aplikację ofiara trafia na fałszywą stronę logowania imitującą portal Microsoft. Operatorzy kampanii mogą dodatkowo stosować techniki utrudniające analizę przez sandboxy, skanery URL i crawlery bezpieczeństwa, na przykład ograniczenia dostępu, warunki pośrednie lub selektywne wyświetlanie treści.

Z punktu widzenia bezpieczeństwa mamy więc do czynienia z wieloetapowym łańcuchem ataku:

  • wiadomość phishingowa z linkiem,
  • legalnie hostowana aplikacja pośrednicząca w Bubble,
  • końcowy panel przechwytujący poświadczenia do kont Microsoft.

Taki model znacząco zwiększa odporność kampanii na wykrycie i blokowanie, ponieważ każdy z elementów może być analizowany oddzielnie, a niektóre zabezpieczenia koncentrują się wyłącznie na pierwszym lub ostatnim etapie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem skutecznego ataku jest przejęcie danych uwierzytelniających do usług Microsoft, w szczególności środowisk Microsoft 365. Uzyskany dostęp może obejmować pocztę, kalendarze, dokumenty, kontakty oraz inne zasoby organizacyjne powiązane z tożsamością użytkownika.

Przejęte konto często staje się punktem wyjścia do kolejnych działań ofensywnych. Napastnicy mogą wykorzystać je do prowadzenia wewnętrznego phishingu, oszustw typu BEC, kradzieży danych, dalszej eskalacji uprawnień lub uzyskiwania dostępu do innych usług federowanych z kontem Microsoft.

Ryzyko rośnie szczególnie w organizacjach, które zbyt mocno polegają na reputacji domeny i traktują znane platformy jako domyślnie bezpieczne. Nadużycie legalnych usług osłabia skuteczność klasycznych filtrów URL oraz prostych metod oceny treści wiadomości. W dłuższej perspektywie problem podważa także zaufanie do ekosystemu narzędzi no-code i usług wspieranych przez AI, które mogą być wykorzystywane jako nośnik złośliwej aktywności.

Rekomendacje

Organizacje powinny zaktualizować swoje podejście do ochrony przed phishingiem i odejść od modelu, w którym bezpieczeństwo ocenia się głównie przez reputację domeny. Kluczowe znaczenie ma analiza zachowania strony po kliknięciu, obserwacja łańcuchów przekierowań oraz wykrywanie dynamicznie ładowanych elementów po stronie klienta.

  • wdrożyć ochronę poczty analizującą zachowanie linków, a nie tylko ich reputację,
  • monitorować ruch do usług chmurowych i platform aplikacyjnych, które nie są standardowo używane w biznesie,
  • stosować zabezpieczenia przeglądarkowe i endpointowe blokujące złośliwe witryny podczas renderowania,
  • egzekwować odporne na phishing mechanizmy MFA,
  • szkolić użytkowników, że znana domena pośrednia nie gwarantuje bezpieczeństwa strony docelowej,
  • włączyć warunkowy dostęp i monitorowanie anomalii logowania w środowisku Microsoft 365,
  • rozszerzyć playbooki SOC i IR o scenariusze z udziałem legalnych platform pełniących rolę redirectora.

Ważne jest również, aby analiza incydentów obejmowała cały łańcuch dostarczenia ataku, a nie wyłącznie końcową domenę phishingową. Tylko takie podejście pozwala skuteczniej identyfikować podobne kampanie i szybciej reagować na nowe warianty nadużyć.

Podsumowanie

Nadużycie Bubble pokazuje, że współczesny phishing coraz skuteczniej wykorzystuje legalne usługi, złożony kod generowany automatycznie i wieloetapowe przekierowania. Atakujący nie muszą już budować całej infrastruktury od podstaw — wystarczy, że osadzą złośliwą logikę w wiarygodnym ekosystemie, który utrudnia analizę i ogranicza skuteczność tradycyjnych metod detekcji.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona przed phishingiem musi stać się bardziej kontekstowa, behawioralna i tożsamościowa. Skuteczna obrona wymaga połączenia ochrony poczty, bezpieczeństwa endpointów, silnego MFA oraz ciągłego monitoringu aktywności w usługach chmurowych.

Źródła

  1. Bubble AI app builder abused to steal Microsoft account credentials — https://www.bleepingcomputer.com/news/security/bubble-ai-app-builder-abused-to-steal-microsoft-account-credentials/
  2. Bubble: a new tool for phishing scams — https://www.kaspersky.com/blog/bubble-no-code-phishing/55488/