导语:此次攻击的特殊之处在于,攻击者借助大众熟知的知名品牌建立信任,显著提升了诱骗效果。
一场持续进行的钓鱼攻击活动正以Calendly为诱饵载体,仿冒联合利华、迪士尼、万事达卡、路威酩轩、优步等知名品牌,伺机窃取目标用户的谷歌工作区及脸书商业账户凭证。
尽管针对商业广告管理账户的攻击并非新鲜事,但这一攻击活动具备极强的定向性,其精心打造的钓鱼诱饵大幅提升了攻击成功率。
一旦攻击者获取营销账户权限,便可将其作为跳板,发起各类恶意广告活动,用于中间人钓鱼、恶意软件分发及点击劫持攻击。此外,广告平台支持地域定向、域名过滤及设备精准定位等功能,攻击者可借此实施“水坑式”攻击。
从收益角度看,被攻陷的营销账户还可转售给网络犯罪分子,实现直接变现。而谷歌工作区账户往往关联企业内网环境与核心业务数据,尤其是在单点登录及宽松身份提供商配置下,其被窃取的危害会进一步扩大。
基于Calendly的钓鱼攻击流程
Calendly是一款正规的在线日程预约平台,会议组织者可向参会方发送链接,供对方自主选择空闲时段。该平台此前曾被用于钓鱼攻击,而此次攻击的特殊之处在于,攻击者借助大众熟知的知名品牌建立信任,显著提升了诱骗效果。
攻击的具体流程如下:
1. 诱饵投放:攻击者先伪装成知名品牌的招聘人员,向目标用户发送伪造的会议邀约,且钓鱼落地页还会仿冒企业真实员工身份,增强可信度。据悉,这些钓鱼邮件由AI工具生成,累计仿冒品牌超75个,涵盖路威酩轩、乐高、万事达卡、优步等。
钓鱼邮件启动攻击
2. 链路跳转:受害者点击邮件链接后,会进入伪造的Calendly页面,页面首先会弹出人机验证(CAPTCHA),验证通过后随即跳转至AiTM钓鱼页面,尝试窃取用户的谷歌工作区登录会话。
3. 多平台适配:Push Security在与某受害机构核实后确认,该活动核心目标为谷歌多客户账户广告管理账户。
假的Calendly页面
研究人员最初发现31个支撑该攻击的独立URL,后续又排查出多个变种版本:其一仿冒联合利华、迪士尼、乐高、Artisan等品牌,专门窃取脸书商业账户凭证;另一较新版本则采用浏览器嵌套攻击技术,通过显示含正规URL的伪造弹窗,同时窃取谷歌与脸书两类账户凭证。
针对脸书账户的页面
4. 反检测机制:钓鱼页面还内置反分析防护,包括拦截VPN及代理流量、禁止访客在页面内打开开发者工具等,以此规避安全检测。
变体针对两种账户类型
并行的恶意广告钓鱼活动
与此同时,Push Security还监测到另一项针对谷歌广告管理账户的恶意广告攻击:用户在谷歌搜索中查询“Google Ads”时,可能点击到恶意赞助广告,进而被导向谷歌广告主题的钓鱼页面,最终跳转至仿冒谷歌登录界面的AiTM钓鱼站点。
恶意搜索结果排名第一
研究发现,此类攻击的恶意页面多部署在Odoo平台,部分还会经Kartra平台跳转。
虚假Google广告着陆页
尽管针对广告管理账户的同类攻击早有记载,但对攻击者而言,其仍具备极高的牟利价值。鉴于AiTM技术可绕过双重认证防护,安全机构建议高价值账户持有者采取以下防护措施:使用硬件安全密钥、输入凭证前仔细核验URL、将登录弹窗拖动至浏览器边缘以验证其合法性。
文章来源自:https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/如若转载,请注明原文地址
