Menlo Labs hat kürzlich eine Phishing-Kampagne identifiziert, die sich an Führungskräfte in Führungspositionen in verschiedenen Branchen richtet, vor allem aber an Bank- und Finanzdienstleistungen, Versicherungsanbieter, Immobilienverwaltung und Immobilien sowie Fertigung.
Die wichtigsten Ergebnisse, die auf unseren Recherchen zur Phishing-Kampagne basieren, lauten wie folgt:
Dies ist ein klassisches Beispiel für einen AiTM-Phishing-Angriff (Adversary In The Middle), bei dem Sitzungscookies gesammelt werden, sodass Bedrohungsakteure den MFA-Schutz umgehen können.
Im Juli 2023, Menlo Security HEAT-Schild entdeckte und blockierte einen neuartigen Phishing-Angriff, bei dem die Opfer auf der Website „indeed.com“ auf eine Phishing-Seite umgeleitet wurden, die sich als Microsoft ausgab. Folglich glaubt ein ahnungsloses Opfer, dass die Weiterleitung von einer vertrauenswürdigen Quelle wie „indeed.com“ stammt.
Es wurde festgestellt, dass die Bedrohungsakteure die Phishing-Seiten mithilfe der Phishing-as-a-Service-Plattform namens „EvilProxy“ bereitstellen. Der Dienst wird im Dark Web als Abonnementangebot beworben und verkauft. Die Gültigkeitsdauer des Abonnements liegt zwischen 10 Tagen, 20 Tagen und 31 Tagen. Einer der Schauspieler, bekannt unter dem Namen „John_Malkovich“, spielt die Rolle eines Administrators und Vermittlers, der Kunden, die den Dienst gekauft haben, unterstützt.
Die Kampagne richtete sich an Mitarbeiter der obersten Führungsebene und andere wichtige Führungskräfte in Unternehmen mit Sitz in den Vereinigten Staaten in verschiedenen Sektoren.
Die folgende Tabelle zeigt die verschiedenen Sektoren, auf die die Kampagne abzielt.
Diese Daten wurden mithilfe von Informationen zusammengestellt, die über URLScan-, Phishtank- und VirusTotal-Feeds gesammelt wurden.
Der Infektionsvektor war eine Phishing-E-Mail mit einem Link, der fälschlicherweise so gestaltet ist, dass er von einer vertrauenswürdigen Quelle stammt, in diesem Fall von „indeed.com“. Beim Klicken auf den Link wird das Opfer auf eine gefälschte Microsoft Online-Anmeldeseite weitergeleitet.
Die Darstellung der Attack-Kill-Kette mit der schrittweisen Aufschlüsselung ist unten dargestellt.
Eine offene Umleitung erfolgt, wenn eine Anwendung (beabsichtigt oder versehentlich) die Umleitung zu einer nicht vertrauenswürdigen externen Domäne veranlasst. Dieser Fehler kann ausgenutzt werden, um die Vertrauenswürdigkeit der Weiterleitungsquelle auszunutzen und das Opfer letztlich auf eine Phishing-Website oder eine kompromittierte Website umzuleiten, auf der Schadsoftware installiert ist.
Bei diesem speziellen Angriff klickt der Benutzer auf eine URL und glaubt, auf indeed.com oder eine andere seiner Subdomains weitergeleitet zu werden. Die Subdomain „t.indeed.com“ wird mit Parametern geliefert, um den Client zu einem anderen Ziel (example.com) umzuleiten, wie im folgenden Beispiel gezeigt. Die Parameter in der URL, die auf das „?“ folgen sind eine Kombination aus Parametern, die nur für indeed.com gelten, und dem Zielparameter, dessen Argument aus der Ziel-URL besteht. Daher wird der Benutzer beim Klicken auf die URL zu example.com weitergeleitet. Bei einem tatsächlichen Angriff würde der Benutzer auf eine Phishing-Seite weitergeleitet.
Die HTTP-Header-Anfrage und die Antworten zeigen die Umleitungskette, die durch die Sicherheitsanfälligkeit verursacht wurde.
Die Bedrohungsakteure verwendeten das EvilProxy-Phishing-Kit, das als Reverse-Proxy fungiert und einen gegnerischen In-The-Middle-Angriff ausführt, indem es Benutzersitzungscookies stiehlt und so dazu beiträgt, die 2-Faktor-Authentifizierung zu umgehen, die MFA erfolgreich umgeht.
Die Phishing-Umleitungskette besteht aus 3 Teilen:
Das folgende Diagramm zeigt die Umleitungskette bei diesem speziellen Angriff.
Es wurde festgestellt, dass die Phishing-Seiten die Subdomain „lmo.“ haben und speziell die Identität der Microsoft Online-Anmeldeseite angenommen haben. Es wurde festgestellt, dass die Phishing-Seiten auf Nginx-Servern gehostet wurden, die als Reverse-Proxy fungieren können. Der Reverse-Proxy ruft alle Inhalte ab, die wie die Anmeldeseiten dynamisch generiert werden können, und fungiert dann als Gegner in der Mitte, indem er die Anfragen und Antworten zwischen dem Opfer und der legitimen Website abfängt. Dies hilft beim Sammeln der Sitzungscookies und diese Taktik kann auf die Verwendung des EvilProxy Phishing-Kits zurückgeführt werden.
Es wurden Artefakte beobachtet, die auf die Verwendung von EvilProxy zurückzuführen sind:
Menlo hat diese Kampagne bei einem unserer Kunden beobachtet, und wir konnten diese Bedrohung dank unserer HEAT-Schild. HEAT Shield war dank seiner Echtzeitanalysefunktion in der Lage, diesen Phishing-Versuch im Handumdrehen zu erkennen und zu verhindern. HEAT Shield war in der Lage, die Phishing-Website erfolgreich zu erkennen, indem es KI-basierte Erkennungsmodelle nutzte, um die gerenderte Webseite zu analysieren, lange bevor die URL-Reputationsdienste und andere Sicherheitsanbieter diese Seite wegen bösartigen Verhaltens markierten. HEAT Shield generiert dabei auch die Zero-Hour Phishing-Erkennungswarnungen, die dazu beitragen, den SOC-Analysten einen besseren Überblick zu verschaffen, indem sie ihnen den Kontext der Bedrohung und angereicherte Daten zur Verfügung stellen, die ihre Recherchen angemessen unterstützen.
HEAT Shield schützt Benutzer vor dem Abgreifen von Zugangsdaten und der Kompromittierung von Konten, indem es den Angriffsvektor von der ersten Zugriffsphase an absperrt (MITRE ATT&CK-Framework) und definiert die Art und Weise, wie Sicherheit implementiert wird, neu, indem ein proaktiver Ansatz zur Bekämpfung solcher hochgradig ausweichenden Bedrohungen durchgesetzt wird. Diese sich schnell entwickelnde Bedrohungslandschaft macht es für uns unerlässlich, immer einen Schritt voraus zu sein und in Zero Trust by Design zu investieren.
Angesichts der gesammelten Informationen und Analysen aus verschiedenen Quellen können wir mit Zuversicht feststellen, dass die Bedrohungsakteure das „EvilProxy“ -Phishing-Kit und insbesondere die offene Umleitungsanfälligkeit in der Anwendung „indeed.com“ ausnutzten, um sich als die Microsoft-Online-Seite auszugeben, um sich für Anmeldeinformationen und Kontokompromittierung auszugeben.
Kontokompromittierung ist nur die Vorstufe einer Angriffskette, die möglicherweise in einer Business Email Compromise enden könnte, bei der die potenziellen Auswirkungen von Identitätsdiebstahl über Diebstahl geistigen Eigentums bis hin zu massiven finanziellen Verlusten reichen könnten.
Es besteht eine hohe Wahrscheinlichkeit, dass wir einen Anstieg der Nutzung von 'EvilProxy' feststellen werden. Erstens ist es einfach zu bedienen und verfügt über eine einfache Oberfläche mit Tutorials und Dokumentationen, die im Dark Web leicht verfügbar sind. Die Fähigkeit, MFA zu umgehen, macht es zu einem leistungsstarken Tool im Arsenal für Cyberkriminelle.
Menlo Labs hat sich an Indeed.com gewandt und sie über die Existenz der Open-Redirect-Sicherheitslücke und deren aktive Ausnutzung in freier Wildbahn informiert. Sie wurden über die Kritikalität und Schwere dieser Bedrohung informiert.
lmo [.] roxylvfuco [.] com [.] au
lmo [.] bartmfil [.] com
lmo [.] triperlid [.] com
roxylvfuco [.] com [.] au
earthscigrovp [.] com [.] au
mscr.earthscigrovp [.] com [.] au
vfuco.com [.] au
catalogsumut [.] com
ivonnesart [.] com
sheridanwyolibrary [.] org
199,204,248,121
193,239,85,29
212,224,107,74
206,189,190,128
116,90,49,27
85,187,128,19
202,139,238,230
https://www.resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
https://learn.microsoft.com/en-us/aspnet/ajax/cdn/overview
http://www.boredhackerblog.info/2022/11/looking-for-evilproxy-notes.html
https://www.darkreading.com/vulnerabilities-threats/evilproxy-commodifies-reverse-proxy-tactic-phishing-bypassing-2fa
https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/