Napad počinje imejlom koji je potpuno „čist“. Nema malicioznih linkova niti priloga koji bi odmah izazvali sumnju. Umjesto toga, ključnu ulogu ima PDF dokument.
Napadači koriste funkcionalnosti PDF formata, poput AcroForms i FlateDecode, kako bi sakrili elemente na koje se može kliknuti unutar dokumenta koji izgleda kao običan kancelarijski fajl. Kako korisnici uglavnom imaju više povjerenja u PDF priloge nego u linkove u imejlovima, ova metoda povećava vjerovatnoću interakcije.
Klik na skriveni link vodi do drugog dokumenta, koji je hostovan na Vercel Blob, legitimnoj cloud infrastrukturi. Korišćenjem pouzdane platforme, napadači dodatno otežavaju detekciju, jer bezbjednosni sistemi rijeđe blokiraju poznate cloud provajdere.
Ovaj dokument potom preusmjerava žrtvu na lažnu stranicu za prijavu koja imitira Dropbox interfejs. Vizuelno gotovo identična originalu, stranica u pozadini pokreće skriptu koja prikuplja imejl adresu, lozinku, IP adresu, geolokaciju (grad i država) i tip uređaja.
Podaci se zatim automatski šalju na privatni Telegram kanal putem „hardkodovanog“ bota kojim upravljaju napadači.
Da bi prikrili krađu, lažna stranica uvijek prikazuje poruku o grešci prilikom prijave, ostavljajući utisak da je korisnik samo pogrešno unio lozinku, dok su podaci već kompromitovani.
Ovaj slučaj pokazuje da ako poslovni dokument iznenada zahtijeva prijavu na nalog, naročito kroz PDF prilog, neophodno je da dodatno provjerite pošiljaoca, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.