Kampania phishingowa z fałszywym zamówieniem zakupu wykorzystuje PDF-y do kradzieży poświadczeń - Security Bez Tabu

Kampania phishingowa z fałszywym zamówieniem zakupu wykorzystuje PDF-y do kradzieży poświadczeń

Cybersecurity news

Wprowadzenie do problemu / definicja

Phishing ukierunkowany na środowiska biznesowe coraz częściej wykorzystuje dokumenty przypominające codzienną korespondencję handlową. Jednym z najskuteczniejszych wabików pozostaje rzekome zamówienie zakupu, faktura lub prośba o pilne potwierdzenie dokumentu. W analizowanym scenariuszu cyberprzestępcy używają pliku PDF jako elementu socjotechnicznego, którego celem jest skierowanie ofiary do fałszywej strony logowania i przejęcie danych uwierzytelniających.

W skrócie

Kampania opiera się na wiadomościach e-mail podszywających się pod legalną komunikację handlową. Załączony plik PDF zawiera przycisk lub odnośnik prowadzący do strony phishingowej, gdzie ofiara proszona jest o zalogowanie się w celu wyświetlenia rzekomego zamówienia zakupu. Oprócz loginu i hasła strona może zbierać również informacje o przeglądarce, systemie operacyjnym, języku, rozdzielczości ekranu czy lokalizacji użytkownika. Celem ataku jest przejęcie kont firmowych i dalsze wykorzystanie dostępu w operacjach fraudowych lub malware’owych.

Kontekst / historia

Phishing typu purchase order nie jest nowym zjawiskiem, ale jego skuteczność pozostaje wysoka, ponieważ doskonale wpisuje się w codzienne procesy biznesowe. Działy zakupów, finansów, logistyki i sprzedaży regularnie odbierają zamówienia, potwierdzenia i zapytania ofertowe, przez co podobne wiadomości nie wzbudzają od razu podejrzeń.

W nowszych kampaniach widać także szersze wykorzystanie usług chmurowych i zaufanych platform hostingowych jako infrastruktury pośredniej. Taki model utrudnia blokowanie zagrożeń na poziomie domen i pozwala operatorom szybko rotować adresy URL. Dodatkowo część kampanii jest powiązana z rodzinami zagrożeń pokroju PureLogs, które łączą klasyczny phishing z bardziej zaawansowanymi łańcuchami infekcji obejmującymi skrypty, archiwa, PowerShell i techniki bezplikowe.

Analiza techniczna

Punktem wejścia jest wiadomość e-mail zawierająca plik PDF stylizowany na dokument zakupowy. Sam PDF nie musi zawierać exploita — jego podstawową funkcją jest skłonienie użytkownika do kliknięcia w osadzony link. To ważne, ponieważ wiele organizacji nadal postrzega dokumenty PDF jako mniej ryzykowne niż archiwa czy pliki wykonywalne.

Po kliknięciu użytkownik trafia na stronę podszywającą się pod formularz biznesowego logowania. W takich kampaniach często obserwuje się zestaw technik zwiększających skuteczność operacji i utrudniających analizę:

  • prewypełnienie pola adresu e-mail ofiary,
  • obfuskację kodu JavaScript,
  • zbieranie fingerprintu przeglądarki i środowiska systemowego,
  • przesyłanie skradzionych danych do operatorów w czasie rzeczywistym.

Taki model pozwala napastnikom bardzo szybko wykorzystać zdobyte dane uwierzytelniające. Przejęte konto może zostać użyte do logowania do poczty firmowej, usług SaaS, paneli administracyjnych, VPN lub systemów przechowywania plików jeszcze zanim użytkownik zorientuje się, że padł ofiarą oszustwa.

Szerszy kontekst techniczny związany z PureLogs pokazuje, że ekosystem ten może obejmować również bardziej rozbudowane łańcuchy dostarczania ładunku. W obserwowanych wariantach pojawiają się archiwa TXZ, osadzony JavaScript, ukrywanie poleceń w zmiennych środowiskowych, uruchamianie PowerShell w trybie ukrytym, odszyfrowywanie ładunków AES, dekompresja Gzip oraz ładowanie komponentów .NET przez reflection. Takie podejście ogranicza ilość artefaktów na dysku i utrudnia wykrycie przez mechanizmy oparte wyłącznie na sygnaturach.

W części przypadków końcowy etap może obejmować steganograficzne ukrycie danych w obrazie, z którego loader odzyskuje właściwy ładunek malware. To pokazuje, że kampanie wykorzystujące pozornie prosty phishing mogą być elementem bardziej złożonej operacji prowadzącej do pełnej kompromitacji stacji roboczej.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem ataku jest przejęcie firmowych danych logowania. Jeśli użytkownik użyje poświadczeń do poczty służbowej lub platform chmurowych, napastnik może uzyskać dostęp do korespondencji, dokumentów i procesów biznesowych. To z kolei otwiera drogę do dalszego phishingu, oszustw BEC, przejmowania wątków finansowych oraz kradzieży danych klientów i informacji handlowych.

  • dostęp do skrzynki pocztowej i poufnej korespondencji,
  • przejęcie wątków dotyczących płatności i faktur,
  • kradzież dokumentów biznesowych i danych klientów,
  • wykorzystanie konta do dalszych ataków wewnętrznych i zewnętrznych,
  • eskalacja dostępu dzięki ponownemu użyciu haseł.

Ryzyko rośnie w organizacjach, które nie wymuszają MFA lub pozwalają na szeroki dostęp do wielu usług z poziomu jednego konta. Dodatkowo zebrane metadane o urządzeniu i środowisku użytkownika mogą posłużyć do profilowania ofiary, obchodzenia mechanizmów antyfraudowych i przygotowania kolejnych etapów ataku.

Jeśli kampania kończy się wdrożeniem infostealera, skutki są jeszcze poważniejsze. Oprócz haseł malware może przechwytywać ciasteczka sesyjne, tokeny, dane zapisane w przeglądarce oraz informacje systemowe, co zwiększa szansę na długotrwałe utrzymanie dostępu.

Rekomendacje

Organizacje powinny traktować załączniki PDF używane w komunikacji biznesowej z takim samym poziomem ostrożności jak inne nośniki socjotechniczne. Skuteczna obrona wymaga połączenia procedur, zabezpieczeń technicznych oraz świadomości użytkowników.

  • potwierdzanie nieoczekiwanych zamówień zakupu innym kanałem komunikacji,
  • stosowanie zasady drugiej pary oczu przy dokumentach finansowych i zakupowych,
  • analiza behawioralna załączników i inspekcja URL-i osadzonych w dokumentach,
  • wymuszenie MFA dla poczty, VPN i aplikacji SaaS,
  • monitorowanie anomalii logowania, geolokalizacji i nietypowych agentów użytkownika,
  • wykrywanie ukrytych uruchomień PowerShell i podejrzanych loaderów .NET,
  • szkolenia oparte na realistycznych scenariuszach phishingu zakupowego,
  • natychmiastowy reset hasła i unieważnienie sesji po podejrzeniu kompromitacji.

W praktyce szczególnie istotne jest rozdzielenie procesu odbioru dokumentu od procesu logowania do systemu. Każda sytuacja, w której dokument nakłania użytkownika do ponownego uwierzytelnienia, powinna być traktowana jako potencjalnie podejrzana do czasu pełnej weryfikacji.

Podsumowanie

Fałszywe zamówienia zakupu pozostają wyjątkowo skutecznym narzędziem phishingowym, ponieważ wykorzystują naturalne procesy biznesowe oraz zaufanie do dokumentów PDF. Opisywane kampanie pokazują, że nawet prosty mechanizm przekierowania do formularza logowania może stanowić element większego ekosystemu zagrożeń obejmującego kradzież poświadczeń, profilowanie ofiary i dostarczanie infostealerów.

Dla zespołów bezpieczeństwa oznacza to konieczność łączenia ochrony poczty, zabezpieczeń tożsamości, monitorowania endpointów oraz dojrzałych procedur operacyjnych. Kluczową zasadą powinno być założenie, że każdy dokument wymagający kliknięcia i ponownego logowania może być częścią złośliwej kampanii.

Źródła

  1. Infosecurity Magazine – PureLogs Phishing Purchase Order
    https://www.infosecurity-magazine.com/news/purelogs-phishing-purchase-order/
  2. Malwarebytes – Inside a purchase order PDF phishing campaign
    https://www.malwarebytes.com/blog/threat-intel/2025/12/inside-a-purchase-order-pdf-phishing-campaign
  3. FortiGuard Labs – PureLogs: Delivery via PawsRunner Steganography
    https://www.fortinet.com/blog/threat-research/purelogs-delivery-via-pawsrunner-steganography