Microsoft, Dark Web и имя Джона Малковича — все это факторы в этой фишинговой атаке EvilProxy. Хорошей новостью является то, что ИТ-специалисты могут предпринять шаги для смягчения этой угрозы безопасности.
Согласно сообщению, новая фишинговая атака EvilProxy использует уязвимость открытого перенаправления с законного сайта поиска работы Indeed.com. отчет от Menlo Security, компания облачной безопасности. Menlo Security отмечает это фишинг Кампания атак нацелена на сотрудников высшего звена и других ключевых руководителей американских организаций, в первую очередь в сфере производства, страхования, банковских и финансовых услуг, управления недвижимостью и недвижимости.
Перейти к:
Что такое ЗлойПрокси?
ЗлоПрокси представляет собой комплект «фишинг как услуга», который был примерно с сентября 2022 года. Этот комплект позволяет злоумышленнику успешно обойти двухфакторную аутентификацию, используя функцию обратного прокси-сервера. Для выполнения этой операции служба EvilProxy настраивает фишинговый веб-сайт в соответствии с выбранными параметрами перед тем, как комплект будет развернут в Интернете. Когда пользователь заходит на фишинговую страницу, ему предлагается предоставить свои учетные данные и код 2FA. Эта информация используется комплектом в режиме реального времени для открытия захваченного сеанса легитимного сервиса, на который нацелен злоумышленник.
EvilProxy продается в даркнете как услуга на основе подписки с планами от 10 до 31 дня. По данным Menlo Security, некто, использующий никнейм John_Malkovich, играет роль администратора и посредника, помогая клиентам, купившим услугу.
Как эта новая фишинговая кампания злоупотребляет редиректором Indeed.com
Эта новая атака EvilProxy начинается с отправки фишингового электронного письма адресату. В электронном письме содержится ссылка, которая нарушает открыть редиректор от действительно (Рисунок А).
Рисунок А
Редиректора — это веб-ссылки, которые могут использоваться на законных веб-сайтах по разным причинам; однако, редиректоры должны быть хорошо реализованы, чтобы ими не злоупотребляли. Открытое перенаправление — это перенаправление, которое может перенаправить браузер на любой внешний домен.
В этой атаке злоумышленник использует субдомен t.indeed.com, который является открытым редиректором при наличии правильных параметров:
https://t.indeed.com/r?parenttk=1ddp6896a2tsm800&target=https://youtube.com
Как только цель нажимает на ссылку, она перенаправляется на поддельную страницу входа в Microsoft, предоставляемую комплектом EvilProxy. Ничего не подозревающая цель предоставляет свои учетные данные и код 2FA на фишинговую страницу. На стороне сервера комплект использует эти учетные данные и 2FA в режиме реального времени, чтобы предоставить злоумышленнику действительный файл cookie сеанса, который можно использовать для доступа к ресурсам жертвы на веб-сайте Microsoft (Рисунок Б).
Рисунок Б
Помимо перенаправления с Indeed.com, следуют еще два перенаправления, контролируемые злоумышленниками (Рисунок С).
Рисунок С
Технические доказательства использования EvilProxy
По мнению исследователей, фишинговые страницы размещаются по общим URI-путям, которые часто используются EvilProxy:
- /ests/2.1/content/
- /общий/1.0/содержание/
- /officehub/пакеты/
Фишинговый комплект также использует сеть доставки контента Ajax от Microsoft для динамической выборки и рендеринга содержимого JavaScript.
HTTP-запрос POST содержит адрес электронной почты жертвы в кодировке Base64 и идентификатор сеанса, что также типично для фишингового комплекта EvilProxy. Библиотека FingerprintJS также используется для снятия отпечатков пальцев браузера.
Исследователь Рависанкар Рампрасад объясняет, что IP-адреса, работающие на серверах NGINX, отвечающие с сообщением «Требуется проверка подлинности прокси-сервера 407», также являются признаками EvilProxy, а также сайты с кодом состояния 444 с поддоменами, такими как lmo., auth., live., login-live. . и мсо.
Какие отрасли являются объектами этой фишинговой кампании?
Помимо производства, страховых компаний, банковских и финансовых услуг, управления недвижимостью и недвижимости, другими затронутыми секторами в порядке убывания являются производство электронных компонентов, фармацевтика, здравоохранение и строительство. Примерно 3% целей относятся к другим секторам, включая программное обеспечение, бизнес-консалтинг, бухгалтерский учет, управление цепочками поставок и логистику (Рисунок D).
Рисунок D
Как смягчить эту фишинговую угрозу EvilProxy
Поставщики услуг и веб-сайты не должны допускать перенаправления без надлежащего контроля и очистки параметров, предоставляемых перенаправителю. Большинство редиректоров должны быть настроены так, чтобы разрешать только внутренние ссылки. Если веб-сайту действительно необходимо перенаправление на внешнюю ссылку, необходимо применить дополнительные меры безопасности, такие как использование белых списков внешних доменов.
Сотрудники должны быть обучены обнаруживать фишинговые электронные письма и вредоносные ссылки, которые могут в них содержаться. В случае сомнений у сотрудников должен быть простой способ, возможно, с помощью нажимаемой кнопки в почтовом клиенте, сообщить о подозрительном электронном письме сотрудникам ИТ-безопасности для дальнейшего анализа. Кроме того, необходимо развернуть решения по обеспечению безопасности электронной почты для обнаружения попыток фишинга или заражения вредоносным ПО.
Все операционные системы и программное обеспечение всегда должны быть обновлены и исправлены, чтобы избежать риска возникновения общих уязвимостей.
Раскрытие информации: Я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
2023-10-07 01:25:58
1696650898
#Новая #фишинговая #атака #EvilProxy #использует #редиректор #Indeed.com #для #нападения #на #руководителей #США
