Actors maliciosos han aprofitat una vulnerabilitat de redirecció oberta a la popular plataforma de recerca de feina, Indeed, per llançar atacs de phishing dirigits a alts executius als EUA. Aquesta alarmant revelació va ser feta per investigadors de l’empresa de ciberseguretat Menlo Security. La campanya de phishing es va centrar principalment en executius de sectors com Banca, Finances, Assegurances, Gestió d’Immobles, Béns Immobles i Manufactura.
Els atacs de phishing es van observar entre juliol i agost. Els actors maliciosos van utilitzar el kit de phishing ‘EvilProxy’, que utilitza tècniques de Proxy Invers i Injecció de Galetes per eludir l’autenticació 2FA en proxyficar la sessió de la víctima. Aprofitant la vulnerabilitat a “indeed.com”, els atacants van redirigir les víctimes a pàgines de phishing que imitaven Microsoft. Aquestes falses pàgines d’inici de sessió de Microsoft Online, construïdes amb el marc EvilProxy, recopilaven dinàmicament contingut del lloc legítim d’inici de sessió.
El lloc de phishing funcionava com un proxy invers, dirigint la sol·licitud al lloc web real. Això va permetre als actors maliciosos interceptar les sol·licituds i respostes del servidor legítim, robant així les galetes de sessió. Aquestes galetes robades després van ser utilitzades pels atacants per iniciar sessió i prendre control dels comptes de les víctimes al lloc autèntic de Microsoft Online, eludint efectivament el MFA resistent al phishing.
L’informe de Menlo Security va destacar que en aquest atac específic, els usuaris creien que estaven sent dirigits a “indeed.com” o els seus subdominis. No obstant això, van ser redirigits a pàgines de phishing. Els atacants van allotjar aquestes pàgines de phishing en servidors nginx, que actuaven com a proxies inversos.
Després de descobrir aquesta vulnerabilitat, Menlo Security va compartir ràpidament les seves troballes amb Indeed. Els investigadors anticipen un possible augment en l’ús del kit de phishing ‘EvilProxy’, donada la seva eficàcia en aquests atacs.
Source: Securityaffairs
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.