Злоумышленники используют платформы-конструкторы для создания «промежуточных» фишинговых сайтов

Мошенники активно используют no-code платформу Bubble для создания «промежуточных фишинговых сайтов», позволяющих проходить антифишинговые проверки, сообщили ТАСС в компании «Лаборатория Касперского». Злоумышленники применяют доверенные домены платформы, чтобы скрыть вредоносные ссылки в корпоративных письмах и похищать учетные данные.

No-code-сервисы, такие как Bubble, позволяют разрабатывать сайты и приложения через визуальный конструктор без написания кода. Созданные на этой платформе ресурсы размещаются в её инфраструктуре и используют доверенный домен, что и привлекло внимание злоумышленников. Согласно схеме, они создают легитимный сайт, с которого затем осуществляется перенаправление пользователя на фишинговые страницы авторизации, например, для сервисов Microsoft.

Распространение атак и технические детали

Специалисты немецкой компании cirosec, специализирующейся на кибербезопасности, также фиксируют рост подобных кампаний с середины января 2026 года, отмечая, что атаки с использованием bubbleapps в первую очередь нацелены на малый и средний бизнес Германии. По их данным, атака начинается с фишинговых писем, отправляемых со скомпрометированных учетных записей Microsoft Entra ID. Использование реальных почтовых ящиков доверенных компаний помогает злоумышленникам обходить спам-фильтры.

Анализ, проведенный cirosec, показывает, что промежуточная страница на Bubble не содержит самого фишингового контента. Вместо этого она представляет собой минимальный HTML-документ, встроенный в одностраничное приложение Bubble, единственная цель которого — немедленно перенаправить жертву на настоящую фишинговую страницу с помощью JavaScript-кода. Финальная точка атаки представляет собой прокси-сервер для атак типа «злоумышленник посередине» (AITM), имитирующий страницу входа Microsoft Entra ID. Этот прокси захватывает учетные данные и токены сессий жертвы, пересылая их злоумышленникам.

Для повышения эффективности злоумышленники применяют дополнительные методы: извлечение адреса электронной почты жертвы из фрагмента URL (в открытом или закодированном в Base64 виде) и автоматическую подстановку его в форму входа, а также внедрение на страницу ввода пароля поддельного сообщения об ошибке: «Поскольку вы получаете доступ к конфиденциальной информации, вам необходимо подтвердить свой пароль». Это создает ощущение срочности и заставляет жертву ввести данные.

Уязвимость no-code платформ

Использование no-code платформ для организации фишинга подчеркивает растущую проблему теневых IT-практик («Shadow IT»), когда сотрудники или злоумышленники используют непроверенные инструменты в обход официальных политик безопасности. Согласно независимому аудиту безопасности более 11 тысяч приложений, созданных на Bubble, проведенному в 2025 году, значительная часть из них имеет критические уязвимости: 12,9% приложений раскрывали пользовательские записи через публичный Data API, а 30% допускали утечку как минимум одного ключа API. Это создает благоприятную среду для злоумышленников, позволяя им создавать подконтрольные ресурсы на доверенной инфраструктуре.

Меры защиты

В ответ на растущую угрозу «Лаборатория Касперского» усиливает защиту почтовых серверов. В марте 2026 года компания объявила о масштабном обновлении Kaspersky Security for Mail Server (KSMS), включающем новые технологии обнаружения, в том числе сканирование QR-кодов в теле письма и вложениях, а также анализ пароль-защищенных архивов с помощью песочницы. Эксперты настоятельно рекомендуют компаниям внедрять комплексные решения безопасности и проводить регулярное обучение сотрудников для распознавания фишинговых писем.