Gli attori delle minacce hanno sfruttato una vulnerabilità di reindirizzamento aperto nella popolare piattaforma di ricerca di lavoro, Indeed, per lanciare attacchi di phishing mirati a dirigenti senior negli USA. Questa allarmante rivelazione è stata fatta dai ricercatori della società di cybersecurity Menlo Security. La campagna di phishing ha principalmente preso di mira dirigenti in settori come Banca, Finanza, Assicurazioni, Gestione immobiliare e Beni immobili, e Produzione.
Gli attacchi di phishing sono stati osservati tra luglio e agosto. Gli attori delle minacce hanno utilizzato il kit di phishing ‘EvilProxy’, che impiega tecniche di Reverse Proxy e Cookie Injection per bypassare l’autenticazione 2FA prossificando la sessione della vittima. Sfruttando la vulnerabilità su “indeed.com”, gli aggressori hanno reindirizzato le vittime a pagine di phishing che impersonavano Microsoft. Queste false pagine di accesso di Microsoft Online, costruite con il framework EvilProxy, hanno recuperato dinamicamente contenuti dal sito di login legittimo.
Il sito di phishing funzionava come un reverse proxy, indirizzando la richiesta al sito web effettivo. Ciò ha permesso agli attori delle minacce di intercettare le richieste e le risposte del server legittimo, rubando così i cookie di sessione. Questi cookie rubati sono stati poi utilizzati dagli aggressori per accedere e prendere il controllo degli account delle vittime sul vero sito di Microsoft Online, bypassando efficacemente l’MFA non resistente al phishing.
Il rapporto di Menlo Security ha evidenziato che in questo specifico attacco, gli utenti credevano di essere indirizzati su “indeed.com” o sui suoi sottodomini. Tuttavia, sono stati reindirizzati a pagine di phishing. Gli aggressori hanno ospitato queste pagine di phishing su server nginx, che agivano come reverse proxy.
Dopo aver scoperto questa vulnerabilità, Menlo Security ha prontamente condiviso le sue scoperte con Indeed. I ricercatori prevedono un potenziale aumento nell’uso del kit di phishing ‘EvilProxy’, data la sua efficacia in questi attacchi.
Source: Securityaffairs
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.