Злоумышленники использовали уязвимость открытой переадресации на популярной платформе поиска работы, Indeed, чтобы начать фишинговые атаки, направленные на высших руководителей в США. Об этом тревожном открытии сообщили исследователи из кибербезопасной компании Menlo Security. Фишинговая кампания, в основном, нацеливалась на руководителей в таких секторах, как банковское дело, финансы, страхование, управление недвижимостью и производство.
Фишинговые атаки наблюдались между июлем и августом. Злоумышленники использовали набор для фишинга «EvilProxy», который использует методы Reverse Proxy и Cookie Injection для обхода двухфакторной аутентификации, проксифицируя сессию жертвы. Используя уязвимость на “indeed.com”, злоумышленники перенаправляли жертв на фишинговые страницы, подражая Microsoft. Эти поддельные страницы входа Microsoft Online, созданные с помощью фреймворка EvilProxy, динамически извлекали содержимое из легитимного сайта входа.
Фишинговый сайт функционировал как обратный прокси, направляя запрос на настоящий сайт. Это позволило злоумышленникам перехватывать запросы и ответы легитимного сервера, тем самым украв сессионные куки. Эти украденные куки затем использовались злоумышленниками для входа в систему и контроля над аккаунтами жертв на настоящем сайте Microsoft Online, эффективно обходя двухфакторную аутентификацию, устойчивую к фишингу.
В отчете Menlo Security говорится, что в этой конкретной атаке пользователи считали, что их направляют на “indeed.com” или его поддомены. Однако их перенаправляли на фишинговые страницы. Злоумышленники разместили эти фишинговые страницы на серверах nginx, которые действовали как обратные прокси.
После обнаружения этой уязвимости Menlo Security немедленно поделилась своими выводами с Indeed. Исследователи ожидают потенциального роста использования набора для фишинга «EvilProxy» из-за его эффективности в этих атаках.
Source: Securityaffairs
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.