Các đối tượng đe dọa đã khai thác một lỗ hổng chuyển hướng mở trên nền tảng tìm việc phổ biến, Indeed, để phát động cuộc tấn công phishing nhắm vào các giám đốc cấp cao tại Mỹ. Phát hiện đáng báo động này được tiết lộ bởi các nhà nghiên cứu từ công ty an ninh mạng Menlo Security. Chiến dịch phishing chủ yếu nhắm vào các giám đốc trong các lĩnh vực như Ngân hàng, Tài chính, Bảo hiểm, Quản lý Bất động sản và Sản xuất.
Các cuộc tấn công phishing đã được ghi nhận từ tháng Bảy đến tháng Tám. Các đối tượng đe dọa sử dụng bộ công cụ phishing ‘EvilProxy’, sử dụng các kỹ thuật Reverse Proxy và Cookie Injection để vượt qua xác thực 2FA bằng cách chuyển hướng phiên của nạn nhân. Bằng cách khai thác lỗ hổng trên “indeed.com”, kẻ tấn công đã chuyển hướng nạn nhân đến các trang phishing giả mạo Microsoft. Những trang đăng nhập giả mạo này, được xây dựng với khung EvilProxy, động tải nội dung từ trang đăng nhập hợp pháp.
Trang phishing hoạt động như một proxy ngược, chỉ đạo yêu cầu đến trang web thực sự. Điều này cho phép các đối tượng đe dọa chặn các yêu cầu và phản hồi của máy chủ hợp lệ, do đó ăn cắp cookie phiên. Những cookie bị đánh cắp sau đó được sử dụng bởi kẻ tấn công để đăng nhập và kiểm soát tài khoản của nạn nhân trên trang web Microsoft Online chính thống, hiệu quả vượt qua MFA không chống phishing.
Báo cáo của Menlo Security nhấn mạnh rằng trong cuộc tấn công cụ thể này, người dùng tin rằng họ được chuyển hướng đến “indeed.com” hoặc các miền phụ của nó. Tuy nhiên, họ lại được chuyển hướng đến các trang phishing. Các kẻ tấn công đã lưu trữ các trang phishing này trên các máy chủ nginx, đóng vai trò như proxy ngược.
Sau khi phát hiện ra lỗ hổng này, Menlo Security nhanh chóng chia sẻ phát hiện của mình với Indeed. Các nhà nghiên cứu dự đoán sẽ có một sự gia tăng tiềm năng trong việc sử dụng bộ công cụ phishing ‘EvilProxy’, dựa trên hiệu quả của nó trong những cuộc tấn công này.
Source: Securityaffairs
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.