Actores maliciosos han explotado una vulnerabilidad de redirección abierta en la popular plataforma de búsqueda de empleo, Indeed, para lanzar ataques de phishing dirigidos a altos ejecutivos en EE.UU. Esta alarmante revelación fue hecha por investigadores de la firma de ciberseguridad Menlo Security. La campaña de phishing se dirigió principalmente a ejecutivos en sectores como Banca, Finanzas, Seguros, Gestión de Propiedades, Bienes Raíces y Manufactura.
Los ataques de phishing se observaron entre julio y agosto. Los actores maliciosos utilizaron el kit de phishing ‘EvilProxy’, que emplea técnicas de Proxy Inverso e Inyección de Cookies para eludir la autenticación 2FA al proxyficar la sesión de la víctima. Al explotar la vulnerabilidad en “indeed.com”, los atacantes redirigieron a las víctimas a páginas de phishing que se hacían pasar por Microsoft. Estas falsas páginas de inicio de sesión de Microsoft Online, construidas con el marco EvilProxy, obtenían dinámicamente contenido del sitio legítimo de inicio de sesión.
El sitio de phishing funcionaba como un proxy inverso, dirigiendo la solicitud al sitio web real. Esto permitió a los actores maliciosos interceptar las solicitudes y respuestas del servidor legítimo, robando así las cookies de sesión. Estas cookies robadas fueron luego utilizadas por los atacantes para iniciar sesión y tomar control de las cuentas de las víctimas en el sitio genuino de Microsoft Online, eludiendo efectivamente el MFA resistente al phishing.
El informe de Menlo Security resaltó que en este ataque específico, los usuarios creían que estaban siendo dirigidos a “indeed.com” o sus subdominios. Sin embargo, fueron redirigidos a páginas de phishing. Los atacantes alojaron estas páginas de phishing en servidores nginx, que actuaban como proxies inversos.
Tras descubrir esta vulnerabilidad, Menlo Security compartió rápidamente sus hallazgos con Indeed. Los investigadores anticipan un posible aumento en el uso del kit de phishing ‘EvilProxy’, dada su eficacia en estos ataques.
Source: Securityaffairs
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.