Μια εκστρατεία ηλεκτρονικού “ψαρέματος” που αποκαλύφθηκε πρόσφατα στοχεύει λογαριασμούς Microsoft 365 βασικών στελεχών σε οργανισμούς που εδρεύουν στις ΗΠΑ, κάνοντας κατάχρηση ανοιχτών ανακατευθύνσεων από τον ιστότοπο Indeed απασχόλησης για καταχωρίσεις θέσεων εργασίας.
Ο παράγοντας απειλής χρησιμοποιεί την υπηρεσία phishing EvilProxy που μπορεί να συλλέγει cookies περιόδου λειτουργίας, τα οποία μπορούν να χρησιμοποιηθούν για την παράκαμψη μηχανισμών ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Ερευνητές της Menlo
Security
αναφέρουν ότι οι στόχοι αυτής της εκστρατείας phishing είναι στελέχη και υψηλόβαθμοι υπάλληλοι από διάφορους κλάδους, συμπεριλαμβανομένης της ηλεκτρονικής κατασκευής, των τραπεζών και των οικονομικών, των ακινήτων, των ασφαλίσεων και της διαχείρισης ακινήτων.
Στόχοι καμπάνιας
(Μένλο)
Οι ανακατευθύνσεις είναι νόμιμες διευθύνσεις URL που οδηγούν τους επισκέπτες αυτόματα σε άλλη τοποθεσία στο διαδίκτυο, συνήθως σε ιστότοπο τρίτου μέρους.
Οι ανοιχτές ανακατευθύνσεις είναι αδυναμίες στον κώδικα του ιστότοπου που επιτρέπουν τη δημιουργία ανακατευθύνσεων σε αυθαίρετες τοποθεσίες, τις οποίες οι φορείς απειλών έχουν χρησιμοποιήσει για να τις κατευθύνουν σε μια σελίδα phishing.
Παράδειγμα ανοιχτής ανακατεύθυνσης
(Μένλο)
Επειδή ο σύνδεσμος προέρχεται από ένα αξιόπιστο μέρος, μπορεί να παρακάμψει τα μέτρα ασφαλείας
email
ή να προωθηθεί στα
αποτελέσματα
αναζήτησης χωρίς να προκαλεί υποψίες.
Στην εκστρατεία που
Ανακαλύφθηκε η Menlo Security
οι φορείς απειλών αξιοποιούν μια ανοιχτή ανακατεύθυνση στο indeed.com, τον αμερικανικό ιστότοπο για καταχωρίσεις θέσεων εργασίας.
Αλυσίδα ανακατεύθυνσης
(Μένλο)
Οι στόχοι λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου με έναν σύνδεσμο indeed.com που φαίνεται νόμιμος. Όταν αποκτηθεί πρόσβαση, η διεύθυνση URL οδηγεί τον χρήστη σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που λειτουργεί ως αντίστροφος διακομιστής για τη σελίδα σύνδεσης της Microsoft.
Η σελίδα ηλεκτρονικού ψαρέματος που χρησιμοποιείται στην καμπάνια
(Μένλο)
Το EvilProxy είναι μια
πλατφόρμα
ηλεκτρονικού “ψαρέματος” ως υπηρεσία που χρησιμοποιεί αντίστροφους διακομιστή μεσολάβησης για να διευκολύνει την
επικοινωνία
και να αναμεταδίδει στοιχεία χρήστη μεταξύ του στόχου και της γνήσιας διαδικτυακής υπηρεσίας, στη συγκεκριμένη περίπτωση της Microsoft.
Όταν ο χρήστης αποκτά πρόσβαση στον λογαριασμό του μέσω αυτού του διακομιστή phishing, ο οποίος μιμείται την αυθεντική σελίδα σύνδεσης, ο παράγοντας απειλής μπορεί να καταγράψει τα cookie ελέγχου ταυτότητας.
Επειδή οι χρήστες έχουν ήδη ολοκληρώσει τα απαιτούμενα βήματα MFA (πολλαπλών παραγόντων ελέγχου ταυτότητας) κατά τη σύνδεση, τα cookies που αποκτήθηκαν δίνουν στους εγκληματίες του κυβερνοχώρου πλήρη πρόσβαση στον λογαριασμό θύματος.
Επισκόπηση της επίθεσης
(Μένλο)
Ο Menlo έχει ανακτήσει αρκετά τεχνουργήματα από την επίθεση που κάνουν την απόδοση στο EvilProxy πιο σίγουρη, όπως:
- Φιλοξενία διακομιστή Nginx
- Συγκεκριμένες διαδρομές URI που είχαν προηγουμένως συνδεθεί με την υπηρεσία
- Απαίτηση για έλεγχο ταυτότητας διακομιστή μεσολάβησης
- Παρουσία κωδικού κατάστασης 444 στην απόκριση διακομιστή
- Παρουσία υπογραφών IDS που έχουν σχεδιαστεί για την αναγνώριση περιεχομένου EvliProxy uri
- Χρήση της βιβλιοθήκης FingerprintJS για τη λήψη δακτυλικών αποτυπωμάτων στο πρόγραμμα περιήγησης
- Χρήση συγκεκριμένων αιτημάτων POST που περιέχουν μηνύματα ηλεκτρονικού ταχυδρομείου θυμάτων σε μορφή κωδικοποιημένης βάσης64
Τον Αύγουστο του 2023, η Proofpoint προειδοποίησε για μια άλλη καμπάνια EvilProxy, η οποία διένειμε περίπου 120.000 μηνύματα ηλεκτρονικού ψαρέματος σε εκατοντάδες οργανισμούς, στοχεύοντας τους λογαριασμούς Microsoft 365 των υπαλλήλων τους.
Δυστυχώς, η χρήση κιτ αντίστροφου διακομιστή μεσολάβησης για ηλεκτρονικό ψάρεμα αυξάνεται και ο συνδυασμός τους με ανοιχτές ανακατευθύνσεις αυξάνει την επιτυχία μιας καμπάνιας.