Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cyberprzestępcy coraz częściej wykorzystują legalne platformy chmurowe oraz narzędzia no-code do prowadzenia kampanii phishingowych. Jednym z najnowszych przykładów jest nadużywanie platformy Bubble do hostowania aplikacji webowych, które działają jako pośrednik w łańcuchu ataku i kierują ofiary do fałszywych stron logowania podszywających się pod Microsoft.
Taki model zwiększa skuteczność oszustwa, ponieważ użytkownik oraz część systemów bezpieczeństwa widzą odsyłacz prowadzący do zaufanej infrastruktury. W efekcie klasyczne mechanizmy filtrujące, oparte głównie na reputacji domeny, mogą mieć trudności z wykryciem zagrożenia.
W skrócie
- Atakujący wykorzystują Bubble do tworzenia i hostowania aplikacji pośredniczących w kampaniach phishingowych.
- Legalna domena utrudnia wykrycie złośliwego linku przez filtry pocztowe i systemy reputacyjne.
- Ofiary są przekierowywane do stron imitujących logowanie do usług Microsoft.
- Rozbudowany JavaScript i wykorzystanie Shadow DOM komplikują analizę statyczną i automatyczną klasyfikację.
- Przejęte dane mogą posłużyć do uzyskania dostępu do środowiska Microsoft 365 i dalszych ataków wewnątrz organizacji.
Kontekst / historia
Phishing pozostaje jednym z najskuteczniejszych sposobów kompromitacji kont firmowych, szczególnie w środowiskach opartych na Microsoft 365. W ostatnich latach operatorzy takich kampanii coraz częściej odchodzą od prostych stron podszywających się pod znane marki i przechodzą do bardziej złożonych, wieloetapowych łańcuchów dostarczania.
W tym modelu wykorzystywane są legalne usługi SaaS, kreatory stron, platformy hostingowe i mechanizmy automatyzacji. Rozwój narzędzi AI oraz ekosystemu no-code dodatkowo obniżył próg wejścia, dzięki czemu przygotowanie wiarygodnie wyglądającej aplikacji webowej nie wymaga dziś zaawansowanych umiejętności programistycznych.
Bubble dobrze wpisuje się w ten trend, ponieważ pozwala szybko budować i publikować aplikacje frontendowe oraz backendowe. Z perspektywy obrońców problem polega na tym, że złośliwy etap kampanii może zostać ukryty w legalnie hostowanej aplikacji, a nie w oczywiście podejrzanej witrynie.
Analiza techniczna
W opisywanym scenariuszu wiadomość phishingowa nie prowadzi bezpośrednio do strony wyłudzającej dane. Zamiast tego ofiara trafia najpierw do aplikacji uruchomionej na Bubble, która pełni funkcję etapu pośredniego. To rozwiązanie ma znaczenie operacyjne, ponieważ zaufana domena może obniżać ocenę ryzyka w części bramek pocztowych, sandboxów i silników reputacyjnych.
Aplikacje przygotowane w Bubble generują złożony kod JavaScript oraz rozbudowane struktury interfejsu, w tym elementy oparte na Shadow DOM. Taki układ utrudnia analizę, ponieważ logika przekierowania, ładowania zasobów lub przygotowania kolejnego etapu ataku może zostać ukryta w dużym pakiecie kodu, który nie jest łatwy do szybkiej interpretacji.
Po przejściu przez etap pośredni użytkownik zostaje skierowany do właściwego panelu phishingowego podszywającego się pod stronę logowania Microsoft. Jeżeli ofiara wprowadzi dane uwierzytelniające, trafiają one do operatora kampanii. W praktyce może to oznaczać przejęcie skrzynki pocztowej, dostępu do kalendarza, kontaktów, dokumentów oraz innych zasobów powiązanych z kontem.
Ryzyko rośnie, gdy technika ta zostaje połączona z bardziej zaawansowanymi funkcjami współczesnych zestawów phishingowych. Mogą to być między innymi mechanizmy omijania analizy, geofencing, warstwy weryfikacyjne ukrywające właściwą stronę przed skanerami czy elementy wspierające obchodzenie dodatkowych zabezpieczeń. Sama legalna platforma staje się więc tylko jednym komponentem szerszego ekosystemu oszustwa.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem jest wzrost skuteczności phishingu wymierzonego w konta Microsoft. Przejęcie jednego konta służbowego może prowadzić do dalszej eskalacji incydentu, w tym podszywania się pod pracownika, rozsyłania kolejnych wiadomości z zaufanej skrzynki, kradzieży danych oraz prób przejmowania następnych usług.
Dodatkowe zagrożenie wynika z psychologii użytkownika. Gdy ofiara widzi legalnie hostowaną aplikację w wiarygodnej domenie, jej czujność naturalnie spada. To samo dotyczy części procesów obronnych w organizacji, jeśli monitoring nie obejmuje szczegółowej analizy przekierowań, zachowań przeglądarkowych oraz sygnałów z warstwy tożsamości.
W szerszej perspektywie problem nie dotyczy wyłącznie jednej platformy. Jeżeli taki model okaże się skuteczny i łatwy do powielenia, może zostać zaadaptowany przez operatorów phishing-as-a-service oraz włączony do gotowych kitów używanych przez mniej zaawansowanych przestępców. To oznacza większą skalę zagrożenia i mniejszą skuteczność obrony opartej wyłącznie na prostych wskaźnikach IOC.
Rekomendacje
Organizacje powinny przyjąć założenie, że legalna domena nie jest równoznaczna z bezpieczeństwem. Ochrona przed takimi kampaniami wymaga połączenia detekcji behawioralnej, monitorowania tożsamości oraz lepszej analizy zawartości stron docelowych.
- Rozszerzyć reguły detekcyjne o analizę łańcuchów przekierowań i nietypowych zachowań aplikacji hostowanych na zewnętrznych platformach no-code i low-code.
- Monitorować logowania do Microsoft 365 pod kątem anomalii, takich jak nowe lokalizacje, nietypowe urządzenia, niestandardowe user-agenty i nagłe zmiany aktywności.
- Wdrażać phishing-resistant MFA tam, gdzie jest to możliwe.
- Uzupełnić ochronę poczty o silniki analizujące rzeczywistą zawartość strony docelowej, a nie tylko reputację domeny.
- Stosować polityki warunkowego dostępu ograniczające logowanie z nieznanych lokalizacji lub przy podwyższonym ryzyku.
- Prowadzić szkolenia uświadamiające, że również link do pozornie wiarygodnej usługi może być elementem oszustwa.
- Przygotować procedury reagowania po kradzieży poświadczeń, obejmujące reset hasła, unieważnienie sesji, przegląd reguł skrzynki i analizę aktywności konta.
Dla zespołów bezpieczeństwa kluczowe staje się także budowanie widoczności w obszarze tożsamości, endpointów i ruchu sieciowego. W podobnych kampaniach tradycyjne blokowanie domen może być niewystarczające, dlatego coraz większą rolę odgrywa korelacja zdarzeń oraz analiza pełnego kontekstu sesji użytkownika.
Podsumowanie
Wykorzystanie Bubble w kampaniach phishingowych pokazuje, jak szybko cyberprzestępcy adaptują legalne narzędzia no-code i rozwiązania wspierane przez AI do omijania klasycznych mechanizmów ochronnych. Sednem problemu nie jest już wyłącznie fałszywa strona logowania, ale ukrycie złośliwego łańcucha w zaufanej infrastrukturze oraz w złożonym kodzie aplikacji.
Dla organizacji oznacza to konieczność odejścia od prostego modelu zaufania opartego na domenie. Skuteczna obrona wymaga dziś podejścia skoncentrowanego na zachowaniu, tożsamości, analizie sesji i szybkim reagowaniu na anomalie. W przeciwnym razie podobne kampanie będą coraz częściej omijać tradycyjne warstwy zabezpieczeń poczty i użytkownika.
Źródła
- BleepingComputer — Bubble AI app builder abused to steal Microsoft account credentials — https://www.bleepingcomputer.com/news/security/bubble-ai-app-builder-abused-to-steal-microsoft-account-credentials/