سوءاستفاده از پلتفرم Bubble برای دور زدن سیستم‌های تشخیص فیشینگ

کمیته رکن چهارم – مهاجمان سایبری از پلتفرم no-code به نام Bubble برای میزبانی صفحات فیشینگ استفاده می‌کنند تا سیستم‌های امنیتی را دور بزنند.

به گزارش کمیته رکن چهارم، در این روش لینک‌های فیشینگ روی دامنه معتبر *.bubble.io میزبانی می‌شوند؛ موضوعی که باعث می‌شود بسیاری از فیلترهای ایمیل و ابزارهای امنیتی این صفحات را به‌عنوان تهدید شناسایی نکنند. در نتیجه کاربران بدون دریافت هشدار وارد صفحات مخرب می‌شوند.

در زنجیره این حمله، کاربر پس از کلیک روی لینک، ابتدا به یک صفحه میانی هدایت می‌شود که یا او را ریدایرکت می‌کند یا مستقیماً به صفحه فیشینگ منتقل می‌سازد. صفحه نهایی معمولاً به‌گونه‌ای طراحی شده که شباهت زیادی به صفحه ورود سرویس‌هایی مانند Microsoft دارد و در برخی موارد نیز پشت لایه‌های حفاظتی مانند Cloudflare پنهان می‌شود.

پس از وارد کردن اطلاعات توسط کاربر، داده‌های ورود به مهاجم ارسال شده و برای دسترسی غیرمجاز به سرویس‌هایی مانند ایمیل، تقویم و داده‌های Microsoft 365 مورد استفاده قرار می‌گیرد.

پلتفرم Bubble به‌دلیل تولید خودکار اپلیکیشن‌های وب با ساختارهای پیچیده JavaScript و استفاده از Shadow DOM، تحلیل کد را دشوار می‌کند. این موضوع باعث می‌شود ابزارهای امنیتی نتوانند به‌راحتی رفتار مخرب را شناسایی کرده و این صفحات را به‌عنوان سایت‌های عادی طبقه‌بندی کنند.

کارشناسان هشدار داده‌اند که این تکنیک به‌زودی وارد سرویس‌های Phishing-as-a-Service خواهد شد و در کیت‌های آماده فیشینگ مورد استفاده قرار می‌گیرد؛ کیت‌هایی که هم‌اکنون نیز از روش‌هایی مانند سرقت کوکی، حملات AiTM، geo-fencing و تکنیک‌های ضدتحلیل بهره می‌برند.

پیش‌زمینه

در سال‌های اخیر، مهاجمان سایبری به‌طور فزاینده‌ای از زیرساخت‌ها و پلتفرم‌های قانونی برای اجرای حملات خود استفاده می‌کنند. این روند باعث شده مرز میان ترافیک سالم و مخرب کمتر قابل تشخیص باشد و ابزارهای سنتی امنیتی کارایی کمتری در شناسایی تهدیدات جدید داشته باشند.