Yakın zamanda ortaya çıkarılan bir kimlik avı kampanyası, ABD merkezli kuruluşlardaki kilit yöneticilerin Microsoft 365 hesaplarını, iş listeleri için gerçekten istihdam web sitesinden açık yönlendirmeleri kötüye kullanarak hedefliyor.
Tehdit oyuncusu, çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atlamak için kullanılabilen oturum çerezlerini toplayabilen EvilProxy Kimlik Yardım Hizmetini kullanıyor.
Menlo Security'deki araştırmacılar, bu kimlik avı kampanyasının hedeflerinin elektronik üretim, bankacılık ve finans, gayrimenkul, sigorta ve mülk yönetimi dahil olmak üzere çeşitli sektörlerden yöneticiler ve üst düzey çalışanlar olduğunu bildirmektedir.
Yönlendirmeler, ziyaretçileri otomatik olarak başka bir çevrimiçi konuma, genellikle üçüncü taraf bir web sitesine götüren meşru URL'lerdir.
Açık yönlendirmeler, web sitesi kodunda, tehdit aktörlerinin kimlik avı sayfasına yönlendirmek için kullandığı keyfi konumlara yönlendirme oluşturmaya izin veren zayıf yönlerdir.
Bağlantı güvenilir bir partiden geldiğinden, e -posta güvenlik önlemlerini atlayabilir veya şüphe yaratmadan arama sonuçlarında tanıtılabilir.
Menlo Security'nin keşfettiği kampanyada, tehdit aktörleri, Amerikan İş Listeleri Sitesi olan gerçekten.com'da açık bir yönlendirme kullanıyor.
Hedefler, meşru görünen bir gerçekten.com bağlantısı ile e -posta alır. URL erişildiğinde, kullanıcıyı Microsoft’un giriş sayfası için ters vekaleten bir kimlik avı sitesine götürür.
EvilProxy, bu durumda hedef ve orijinal çevrimiçi hizmet olan Microsoft arasında iletişimi kolaylaştırmak ve kullanıcı detaylarını aktarmak için ters vekil olarak kimlik avı platformudur.
Kullanıcı hesaplarına otantik giriş sayfasını taklit eden bu kimlik avı sunucusu aracılığıyla eriştiğinde, tehdit oyuncusu kimlik doğrulama çerezlerini yakalayabilir.
Kullanıcılar giriş sırasında gerekli MFA (çok faktörlü kimlik doğrulama) adımlarını zaten tamamladığından, edinilen çerezler siber suçlulara kurban hesabına tam erişim sağlar.
Menlo, Saldırıdan EvilProxy'ye atfedilmeyi daha güvende hale getiren birkaç eseri kurtardı: örneğin:
Ağustos 2023'te Proofpoint, yüzlerce kuruluşa yaklaşık 120.000 kimlik avı e -postası dağıtan ve çalışanlarının Microsoft 365 hesaplarını hedefleyen başka bir EvilProxy kampanyası konusunda uyardı.
Ne yazık ki, kimlik avı için ters proxy kitlerinin kullanımı büyüyor ve bunları açık yönlendirmelerle birleştirmek bir kampanyanın başarısını artırıyor.
EvilProxy Kimlik Yardım Kampanyası 120.000 Microsoft 365 kullanıcısını hedefliyor
Microsoft Teams kimlik avı saldırısı Darkgate kötü amaçlı yazılımları zorluyor
W3LL Kimlik Avı Kiti Binlerce Microsoft 365 Hesabı Kaçırıyor, MFA'yı Bypass
Classisham Servis olarak sahtekarlık genişliyor, şimdi bankaları ve 251 markayı hedefliyor
Python komut dosyalarını formül olarak çalıştırmanıza izin verecek microsoft excel
Kaynak: Bleeping Computer