Новая фишинговая атака EvilProxy использует редиректор Indeed.com для нападения на руководителей США
8 октября 2023 г.Согласно отчету Menlo Security, компании, занимающейся облачной безопасностью, новая фишинговая атака EvilProxy использует уязвимость открытого перенаправления с законного сайта поиска работы Indeed.com. Menlo Security отмечает, что эта кампания фишинговых атак нацелена на сотрудников высшего звена и других ключевых руководителей американских организаций, в первую очередь в сфере производства, страхования, банковских и финансовых услуг, управления недвижимостью и недвижимости.
Перейти к:
- Что такое ЗлойПрокси?
Как эта новая фишинговая кампания злоупотребляет редиректором Indeed.com
Какие отрасли являются объектами этой фишинговой кампании?
Как смягчить эту фишинговую угрозу EvilProxy
Что такое ЗлойПрокси?
EvilProxy — это комплект «фишинг как услуга», который существует как минимум с сентября 2022 года. Этот комплект позволяет злоумышленнику успешно обходить двухфакторную аутентификацию с помощью функции обратного прокси-сервера. Для выполнения этой операции служба EvilProxy настраивает фишинговый веб-сайт в соответствии с выбранными параметрами перед тем, как комплект будет развернут в Интернете. Когда пользователь заходит на фишинговую страницу, ему предлагается предоставить свои учетные данные и код 2FA. Эта информация используется комплектом в режиме реального времени для открытия захваченного сеанса легитимного сервиса, на который нацелен злоумышленник.
EvilProxy продается в даркнете как услуга на основе подписки с планами от 10 до 31 дня. По данным Menlo Security, некто, использующий никнейм John_Malkovich, играет роль администратора и посредника, помогая клиентам, купившим услугу.
Как эта новая фишинговая кампания злоупотребляет редиректором Indeed.com
Эта новая атака EvilProxy начинается с отправки фишингового электронного письма адресату. В электронном письме содержится ссылка, которая нарушает открытый редиректор от Indeed (рис. A).
Рисунок А
Редиректора — это веб-ссылки, которые могут использоваться на законных веб-сайтах по разным причинам; однако редиректоры должны быть хорошо реализованы, чтобы ими не злоупотребляли. Открытое перенаправление — это перенаправление, которое может перенаправить браузер на любой внешний домен.
В этой атаке злоумышленник использует субдомен t.indeed.com, который является открытым редиректором при наличии правильных параметров:
https://t.indeed.com/r?parenttk=1ddp6896a2tsm800&target=https://youtube.com
Как только цель нажимает на ссылку, она перенаправляется на поддельную страницу входа в Microsoft, предоставляемую комплектом EvilProxy. Ничего не подозревающая цель предоставляет свои учетные данные и код 2FA на фишинговую страницу. На стороне сервера комплект использует эти учетные данные и 2FA в режиме реального времени, чтобы предоставить злоумышленнику действительный файл cookie сеанса, который можно использовать для доступа к ресурсам жертвы на веб-сайте Microsoft (рис. B).
Рисунок Б
Помимо перенаправления с Indeed.com, следуют еще два перенаправления, контролируемые злоумышленниками (рис. C).
Рисунок С
Технические доказательства использования EvilProxy
По мнению исследователей, фишинговые страницы размещаются по общим URI-путям, которые часто используются EvilProxy:
- /ests/2.1/content/
/общий/1.0/содержание/
/officehub/пакеты/
Фишинговый комплект также использует сеть доставки контента Ajax от Microsoft для динамической выборки и рендеринга контента JavaScript.
HTTP-запрос POST содержит адрес электронной почты жертвы в кодировке Base64 и идентификатор сеанса, что также типично для фишингового комплекта EvilProxy. Библиотека FingerprintJS также используется для снятия отпечатков пальцев браузера.
Исследователь Рависанкар Рампрасад объясняет, что IP-адреса, работающие на серверах NGINX, отвечающие с сообщением «Требуется проверка подлинности прокси-сервера 407», также являются признаками EvilProxy, а также сайты с кодом состояния 444 с поддоменами, такими как lmo., auth., live., login-live. . и мсо.
Какие отрасли являются объектами этой фишинговой кампании?
Помимо производства, страховых компаний, банковских и финансовых услуг, управления недвижимостью и недвижимости, другими затронутыми секторами в порядке убывания являются производство электронных компонентов, фармацевтика, здравоохранение и строительство. Примерно 3% целевых показателей относятся к другим секторам, включая программное обеспечение, бизнес-консалтинг, бухгалтерский учет, управление цепочками поставок и логистику (рис. D).
Рисунок D
Как смягчить эту фишинговую угрозу EvilProxy
Поставщики услуг и веб-сайты не должны допускать перенаправления без надлежащего контроля и очистки параметров, предоставляемых перенаправителю. Большинство редиректоров должны быть настроены так, чтобы разрешать только внутренние ссылки. Если веб-сайту действительно необходимо перенаправление на внешнюю ссылку, необходимо применить дополнительные меры безопасности, такие как использование белых списков внешних доменов.
Сотрудники должны быть обучены обнаруживать фишинговые электронные письма и вредоносные ссылки, которые могут в них содержаться. В случае сомнений у сотрудников должен быть простой способ, возможно, с помощью нажимаемой кнопки в почтовом клиенте, сообщить о подозрительном электронном письме сотрудникам ИТ-безопасности для дальнейшего анализа. Кроме того, необходимо развернуть решения по обеспечению безопасности электронной почты для обнаружения попыток фишинга или заражения вредоносным ПО.
Все операционные системы и программное обеспечение всегда должны быть обновлены и исправлены, чтобы избежать риска возникновения общих уязвимостей.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал