Una ricerca condotta da Menlo Labs ha portato a scoprire una sofisticata campagna di phishing in cui sarebbe stato utilizzato il noto kit di phishing EvilProxy e sfruttata una vulnerabilità di tipo “open redirection” della piattaforma per la ricerca di offerte di lavoro “Indeed.com”.
Campagna EvilProxy: la vulnerabilità sfruttata
Questo attacco si è basato sullo sfruttamento di una vulnerabilità open redirection in un’applicazione web per reindirizzare gli utenti verso un dominio esterno non attendibile.
Cosa si può chiedere a ChatGPT? Scarica la guida 2023: consigli per l’uso, esempi ed opinioni
Nella fattispecie, le vittime credendo di essere reindirizzati al sito “indeed.com” venivano invece portati a una pagina di phishing.
Fonte: Menlo Labs.
Le e-mail ingannevoli contenevano un link al sottodominio “t[.]indeed.com” con parametri per reindirizzare il client verso una pagina di accesso contraffatta di Microsoft.
In pratica come si può notare dall’immagine tra i parametri che seguono il carattere “?” nell’URL del link, presente nel testo del messaggio, l’argomento “target” riporta l’indirizzo web della pagina di phishing.
Di seguito la sequenza di reindirizzamento.
Fonte: Menlo Labs.
EvilProxy usato per distribuire la pagina di phishing
Secondo il rapporto di Menlo Labs, diversi sarebbero gli artefatti che indicano l’utilizzo di EvilProxy in questa campagna, tra cui l’impiego di domini ospitati su server Nginx e di CDN Ajax di Microsoft per il rendering dinamico dei contenuti.
Questo kit, una piattaforma PaaS (Phishing as a Service) disponibile sul dark web, in particolare consente di distribuire delle pagine di phishing ad hoc che funzionano come reverse proxy per rubare i cookie di sessione allo scopo, successivamente, di permettere agli attaccanti di impersonare le vittime e aggirare l’autenticazione MFA per l’accesso ad un sito legittimo.
“Un classico esempio di attacco di phishing AiTM (Adversary In The Middle) che raccoglie cookie di sessione consentendo agli autori delle minacce di aggirare le protezioni MFA”, commenta Ravisankar Ramprasad di Meno Labs.
La catena d’attacco
Alla luce di quanto finora discusso ecco una schematizzazione della catena d’attacco così come ricostruita dal Threat Intelligence di Menlo Labs:
- La vittima riceve una e-mail di phishing contenente il link Indeed apparentemente legittimo.
- La vittima ignara clicca sul collegamento Indeed che reindirizza alla falsa pagina di accesso di Microsoft.
- La falsa pagina di Microsoft, distribuita tramite il framework di phishing EvilProxy agisce come reverse proxy, recuperando dinamicamente i contenuti dal sito di accesso legittimo.
- L’attaccante si impadronisce delle richieste e delle risposte del server legittimo, catturando così i cookie di sessione.
- L’attaccante successivamente con i cookie rubati ottiene l’accesso al sito legittimo di Microsoft, impersonando le vittime e aggirando l’autenticazione MFA.
Fonte: Menlo Labs.
EvilProxy: gli obiettivi della campagna phishing
La campagna rilevata e bloccata a luglio 2023 da Menlo Security HEAT si è rivolta specificamente ai dirigenti di alto profilo di vari settori con sede negli Stati Uniti, tra cui in particolare servizi bancari e finanziari, compagnie assicurative e settore manifatturiero.
Fonte: Menlo Labs.
Raccomandazioni
Nell’ambito della divulgazione responsabile Menlo Labs ha informato la società della vulnerabilità in oggetto e del suo sfruttamento attivo in natura.
“La compromissione dell’account costituisce solo la fase preliminare di una catena di attacco che potrebbe finire in una compromissione della posta elettronica aziendale in cui l’impatto potenziale potrebbe variare dal furto di identità, al furto di proprietà intellettuale e ingenti perdite finanziarie”, conclude il rapporto puntando i riflettori anche sulla concreta possibilità che le peculiarità del kit “EvilProxy” possano attrarre sempre più l’attenzione del cyber crime in futuro.
Inoltre, raccomanda alle aziende di tenere sempre per i propri utenti sessioni di sensibilizzazione e formazione aggiornate e di applicare autenticazioni MFA resistenti al phishing come l’autenticazione passwordless basata su FIDO (Fast IDentity Online).
@RIPRODUZIONE RISERVATA