Snapchat, siti Amex abusati da attacchi di phishing di Microsoft 365
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 9 Agosto 2022
Tags: #snapchat, #phishing, #microsoft365
Tags: #snapchat, #phishing, #microsoft365
Snapchat, siti Amex abusati da attacchi di phishing di Microsoft 365
Attacco di phishing
Gli aggressori hanno abusato dei reindirizzamenti aperti sui siti Web di Snapchat e American Express in una serie di attacchi di phishing per rubare le credenziali di Microsoft 365.
I reindirizzamenti aperti sono punti deboli delle app Web che consentono agli attori delle minacce di utilizzare i domini di organizzazioni e siti Web affidabili come pagine di destinazione temporanee per semplificare gli attacchi di phishing.
Vengono utilizzati negli attacchi per reindirizzare gli obiettivi a siti dannosi che li infetteranno con malware o li indurranno a consegnare informazioni riservate (ad es. credenziali, informazioni finanziarie, informazioni personali).
"Poiché il primo nome di dominio nel collegamento manipolato è in realtà quello del sito originale, il collegamento potrebbe sembrare sicuro per l'osservatore occasionale", ha spiegato la società di sicurezza della posta elettronica Inky, che ha osservato gli attacchi.
"Il dominio attendibile (ad es. American Express, Snapchat) funge da pagina di destinazione temporanea prima che il navigatore venga reindirizzato a un sito dannoso."
Secondo i ricercatori di Inky, il reindirizzamento aperto di Snapchat è stato utilizzato in 6.812 e-mail di phishing inviate da Google Workspace e Microsoft 365 è stato dirottato in due mesi e mezzo.
Queste e-mail hanno impersonato Microsoft, DocuSign e FedEx e hanno reindirizzato i destinatari a pagine di destinazione progettate per raccogliere le credenziali Microsoft.
Sebbene la vulnerabilità di Snapchat sia stata segnalata all'azienda tramite la piattaforma Open Bug Bounty un anno fa, il 4 agosto 2021, il reindirizzamento aperto deve ancora essere corretto.
D'altra parte, il reindirizzamento aperto di American Express è stato rapidamente corretto dopo essere stato sfruttato per un paio di giorni a fine luglio. I nuovi tentativi di abusarne ora finiscono su un errore di American Express page.
Prima di essere affrontato, il reindirizzamento aperto Amex è stato utilizzato in 2.029 e-mail di phishing utilizzando esche Microsoft Office 365, inviate da domini registrati di recente e progettato per incanalare potenziali vittime verso siti di raccolta delle credenziali Microsoft.
"In entrambi gli exploit Snapchat e American Express, i cappelli neri hanno inserito informazioni di identificazione personale (PII) nell'URL in modo che le pagine di destinazione dannose potessero essere personalizzate al volo per le singole vittime", ha spiegato Inky.
"E in entrambi, questo inserimento è stato mascherato convertendolo in Base 64 per farlo sembrare un gruppo di personaggi casuali".
Per difendersi da tali attacchi, Inky ha consigliato ai destinatari delle e-mail di verificare la presenza di stringhe "url="", "redirect=", "external-link" o "proxy" o più occorrenze di "HTTP" negli URL incorporati nelle e-mail che potrebbero mostrare un'indicazione di reindirizzamento.
Si consiglia inoltre ai proprietari di siti Web di implementare dichiarazioni di non responsabilità sul reindirizzamento esterno che richiedono agli utenti di fare clic prima di essere reindirizzati a siti esterni.