Carding 4 Carders
Professional
Руководители высшего звена, работающие в организациях, базирующихся в США, становятся мишенью новой фишинговой кампании, которая использует популярный фишинговый инструментарий "злоумышленник посередине" (AiTM) под названием EvilProxy для сбора учетных данных и захвата учетных записей.
Menlo Security заявила, что деятельность началась в июле 2023 года, в первую очередь выделяя банковские и финансовые услуги, страхование, управление имуществом и недвижимость, а также производственные секторы.
"Злоумышленники использовали уязвимость open redirection в платформе поиска работы 'indeed.com "перенаправление жертв на вредоносные фишинговые страницы, выдающие себя за Microsoft", - сказал исследователь безопасности Рависанкар Рампрасад в отчете, опубликованном на прошлой неделе.
EvilProxy, впервые задокументированный Resecurity в сентябре 2022 года, функционирует как обратный прокси, установленный между целью и законной страницей входа для перехвата учетных данных, кодов двухфакторной аутентификации (2FA) и сеансовых файлов cookie для взлома интересующих учетных записей.
Злоумышленники, стоящие за фишинговым набором AiTM, отслеживаются Microsoft под псевдонимом Storm-0835, и, по оценкам, у них сотни клиентов.
"Эти киберпреступники ежемесячно платят лицензионные платежи в размере от 200 до 1000 долларов США и проводят ежедневные фишинговые кампании", - сказал технологический гигант. "Поскольку этими сервисами пользуется так много участников угроз, нецелесообразно приписывать кампании конкретным участникам".
В ходе последней серии атак, задокументированных Menlo Security, жертвам отправляются фишинговые электронные письма с обманчивой ссылкой, указывающей на Indeed, которая, в свою очередь, перенаправляет пользователя на страницу EvilProxy для получения введенных учетных данных.
Это достигается за счет использования открытой ошибки перенаправления, которая возникает, когда сбой в проверке введенных пользователем данных приводит к тому, что уязвимый веб-сайт перенаправляет пользователей на произвольные веб-страницы в обход защитных ограждений.
"Поддомен 't.indeed.com' снабжен параметрами для перенаправления клиента на другую цель (example.com)", - сказал Рампрасад.
"Параметры в URL, которые следуют за '?', представляют собой комбинацию параметров, уникальных для indeed.com и целевого параметра, аргумент которого состоит из целевого URL. Следовательно, пользователь, щелкнув по URL, в конечном итоге перенаправляется на example.com. В реальной атаке пользователь будет перенаправлен на фишинговую страницу".
Разработка происходит по мере того, как злоумышленники используют Dropbox для создания поддельных страниц входа со встроенными URL-адресами, которые при нажатии перенаправляют пользователей на поддельные сайты, предназначенные для кражи учетных данных учетной записи Microsoft в рамках схемы компрометации деловой электронной почты (BEC).
"Это еще один пример того, как хакеры используют законные сервисы в том, что мы называем атаками BEC 3.0", - сказали в Check Point. "Эти атаки невероятно трудно остановить и идентифицировать как службам безопасности, так и конечным пользователям".
Microsoft в своем отчете Digital Defense отметила, как "субъекты угроз адаптируют свои методы социальной инженерии и использование технологий для проведения более сложных и дорогостоящих BEC-атак", злоупотребляя облачной инфраструктурой и используя доверенные деловые отношения.
Это также связано с тем, что Полицейская служба Северной Ирландии предупредила о резком росте qishing-писем, которые включают отправку электронного письма с PDF-документом или файлом изображения PNG, содержащим QR-код, в попытке обойти обнаружение и обманом заставить жертв посещать вредоносные сайты и страницы сбора учетных данных.
