Недавно была обнаружена фишинговая кампания, направленная на учетные записи Microsoft 365 ключевых руководителей американских организаций с использованием открытых перенаправлений с сайта Indeed для размещения объявлений о вакансиях.
Угроза использует фишинговый сервис EvilProxy, способный собирать сессионные cookie-файлы, которые могут быть использованы для обхода механизмов многофакторной аутентификации (MFA).
Исследователи из Menlo Security сообщают, что объектами фишинговой кампании являются руководители и высокопоставленные сотрудники различных отраслей, включая электронное производство, банковское дело и финансы, недвижимость, страхование и управление имуществом.
Перенаправления - это законные URL-адреса, которые автоматически переводят посетителей на другой сайт, как правило, сторонний.
Открытые перенаправления - это слабые места в коде сайта, позволяющие создавать перенаправления в произвольные места, которые используются злоумышленниками для перенаправления на фишинговую страницу.
Поскольку ссылка исходит от надежной стороны, она может обходить меры безопасности электронной почты или продвигаться в результатах поиска, не вызывая подозрений.
В кампании, обнаруженной Menlo Security, злоумышленники использовали открытое перенаправление на indeed.com, американский сайт объявлений о работе.
Цели получают электронные письма со ссылкой indeed.com, которая выглядит вполне легитимной. При переходе по этой ссылке пользователь попадает на фишинговый сайт, выступающий в роли обратного прокси-сервера для страницы входа в систему Microsoft.
EvilProxy - это фишинговая платформа, использующая обратные прокси-серверы для обеспечения связи и передачи данных пользователя между целью и настоящим онлайн-сервисом, в данном случае Microsoft.
Когда пользователь получает доступ к своей учетной записи через этот фишинговый сервер, имитирующий подлинную страницу входа в систему, угрожающий агент может перехватить аутентификационные cookies.
Поскольку пользователь уже выполнил необходимые шаги MFA (многофакторной аутентификации) при входе в систему, полученные cookies дают злоумышленникам полный доступ к учетной записи жертвы.
Компания Menlo обнаружила несколько артефактов атаки, которые позволяют с большей уверенностью отнести ее к EvilProxy, а именно:
- хостинг сервера Nginx
- специфические URI-пути, ранее связанные с сервисом
- Требование аутентификации через прокси-сервер
- Наличие кода состояния 444 в ответе сервера
- Наличие сигнатур IDS, предназначенных для распознавания содержимого EvliProxy
- Использование библиотеки FingerprintJS для "отпечатка пальца" браузера
- Использование специфических POST-запросов, содержащих электронные письма жертв в base64-кодировке
В августе 2023 года компания Proofpoint предупредила сотни организаций об очередной кампании EvilProxy, в рамках которой было распространено около 120 000 фишинговых писем, направленных на учетные записи Microsoft 365 их сотрудников.
К сожалению, использование комплектов обратных прокси для фишинга растет, а их сочетание с явными перенаправлениями повышает успешность кампании.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
