Bilgisayar korsanları, değerli Facebook hesaplarını hedefleyen sofistike bir kimlik avı kampanyası başlatmak için Salesforce'un e-posta hizmetlerinde ve SMTP sunucularında sıfır günlük bir güvenlik açığından yararlandı.
Saldırganlar, Salesforce'un gönderen doğrulama önlemlerini ve Facebook'un web oyunları platformundaki tuhaflıkları kitlesel sevişme e-postalarına atlamak için "Phishforce" olarak adlandırılan bir kusuru zincirledi.
Kimlik avı e -postalarını dağıtmak için Salesforce gibi saygın bir e -posta ağ geçidi kullanmanın yararı, güvenli e -posta ağ geçitlerinin ve filtreleme kurallarının kaçınmasıdır ve kötü amaçlı e -postaların hedefin gelen kutusuna ulaşmasını sağlar.
Kampanya, Salesforce'a bilinmeyen kırılganlığı bildiren ve iyileştirme sürecinde onlara yardımcı olan Guardio Labs analistleri Oleg Zaytsev ve Nati Tal tarafından keşfedildi.
Bununla birlikte, Meta'nın mühendisleri hala mevcut hafifletmelerin saldırıları durduramadığını anlamaya çalıştıklarından, Facebook'un oyun platformunda keşfedilen sorunlar olağanüstü.
Salesforce CRM, müşterilerin platformun ilk olarak doğrulaması gereken özel alan adlarını kullanarak kendi markaları olarak e -posta göndermelerine olanak tanır. Bu, müşterileri taklit etme izni olmayan diğer markalar olarak Salesforce aracılığıyla e -posta göndermelerini önler.
Bununla birlikte, Guardio Labs, saldırganların Salesforce'un "e-posta-durum" özelliğinden yararlanmanın bir yolunu bulduklarını ve kuruluşların gelen müşteri e-postalarını destek ekipleri için eyleme geçirilebilir biletlere dönüştürmek için kullandıklarını söyledi.
Özellikle, saldırganlar Salesforce tarafından oluşturulan bir e-posta adresinin kontrolünü ele geçirmek için yeni bir "e-posta-kasa" akışı kurdular, daha sonra "Salesforce.com" alanında yeni bir gelen e-posta adresi oluşturdu.
Daha sonra, bu adresi Salesforce'un Mass Mailer Gateway'in giden e-postalar için kullandığı "kuruluş çapında bir e-posta adresi" olarak belirlediler ve nihayet alan adının sahipliğini onaylamak için doğrulama sürecinden geçti.
Bu işlem, Salesforce'un mesaj göndermek için Salesforce e-posta adreslerini kullanmalarına izin verdi ve hem Salesforce'un doğrulama korumalarını hem de diğer e-posta filtrelerini ve anti-aksist sistemleri devreye attı.
Gerçekten de, "Case.salesforce.com" alanını kullanarak "meta platformlardan" gelen kimlik avı e -postaları ile Vahşi'de Guardio Labs'ın gözlemlediği budur.
Gömülü düğmeye tıklamak, kurbanı barındırılan ve Facebook oyun platformunun ("apps.facebook.com") bir parçası olarak görüntülenen bir kimlik avı sayfasına götürür, bu da saldırıya daha fazla meşruiyet katar ve e -posta alıcılarının fark etmesini daha da zorlaştırır. dolandırıcılık.
Bu kampanyada kullanılan kimlik avı kitinin amacı, iki faktörlü kimlik doğrulama mekanizmalarını içeren Facebook hesap kimlik bilgilerini çalmaktır.
Kimlik avı e-postalarını yayabilen Salesforce markalı bir adresin oluşturulmasını çoğaltarak sorunları teyit ettikten sonra, Guardio Labs, 28 Haziran 2023'te keşiflerinin satıcısına haber verdi.
Salesforce güvenlik açığını yeniden üretti ve sorunu tam bir ay sonra 28 Temmuz 2023'te çözdü.
"Apps.facebook.com" un kötüye kullanılması ile ilgili olarak, Guardio Labs, Facebook'un Temmuz 2020'de bu platformu emekliye ayırmasından bu yana saldırganların açılış sayfası olarak kullanılan oyun kanvasını oluşturmasının imkansız olması gerektiğini belirtiyor.
Bununla birlikte, platformu kullanımdan kaldırılmadan önce kullanan eski hesaplar hala erişime sahiptir ve tehdit aktörleri karanlık web'deki hesaplar için bir prim ödüyor olabilir.
Meta, Guardio Labs'ın raporu üzerine ihlal sayfalarını kaldırdı; Bununla birlikte, mühendisleri hala mevcut korumaların neden saldırıları durduramadığını araştırıyor.
Kimlik avı aktörleri meşru hizmet sağlayıcılar üzerindeki her potansiyel istismar fırsatını keşfetmeye devam ettikçe, yeni güvenlik boşlukları sürekli olarak kullanıcıları ciddi risklere maruz bırakmakla tehdit ediyor.
Bu nedenle, yalnızca e-posta koruma çözümlerine güvenmemek ve ayrıca gelen kutunuza inen her e-postayı incelemek, tutarsızlıkları aramak ve bu mesajlarda yapılan tüm iddiaları iki kez kontrol etmek önemlidir.
Tehdit Oyuncuları Google AMP'yi kaçamaklı kimlik avı saldırıları için kötüye kullanıyor
Yeni bilgi çalma kötü amaçlı yazılım kampanyası tarafından hedeflenen çevrimiçi satıcılar
Rus hackerlar Microsoft Teams Kimlik Yardım Saldırılarında Govt Orgs hedef
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
Microsoft Paylaşımları Bazı Outlook Köprüleri Açılmıyor
Kaynak: Bleeping Computer