研究人员发现了一种被称为LogoKit可自动将目标公司的 *** 钓鱼工具包logo把它放在钓鱼登录页面上,解决了 *** 犯罪分子最头疼的问题。这使得攻击者很容易模仿和 *** 公司的登录页面。在此之前,很难完成这项任务。
在过去的30天里, *** 犯罪分子已经被使用了LogoKit钓鱼攻击发起了700多家公司的域名。钓鱼攻击页面从常用登录页面到虚假登录页面SharePoint、Adobe Document Cloud、OneDrive、Office 365及加密货币交易所登录门户。
RiskIQ安全研究员Adam Castleman周三表示:"LogoKit实现的功能是发送电子邮件并添加钓鱼网页链接,然后添加公司标志以提高可信度。该工具为犯罪分子的攻击提供了便利,以在不改变模板的情况下重复使用现有材料。"
*** 钓鱼套件
*** 犯罪分子可以20到880美元的价格购买 *** 钓鱼套件。除了一些基本的编程技能外,用户几乎不需要任何技术知识。这些工具包经常用来窃取受害者的各种数据,包括用户名、密码、信用卡号码、社会保障号码等。
为了使用这些工具包, *** 犯罪分子应该首先入侵合法的内容管理系统,或者使用自己的 *** 设施将其安装在远程服务器上。安装后,攻击者只需使用电子邮件、短信或社交媒体工具向受害者发送垃圾邮件,并将受害者引导到在线钓鱼工具包的登录页面。一些在线钓鱼工具也有管理员的背景。 *** 犯罪分子可以查看恶意网站的访问量和受害者泄露的敏感数据。
钓鱼套件并不新鲜。LogoKit让 *** 犯罪分子更容易部署钓鱼登录页面。大多数情况下, *** 犯罪分子会在合法的内容管理系统中使用带有漏洞的钓鱼工具包,这可以很容易地处理复杂的网站布局。但这可能会导致登录页面不能正常使用,受害者可能会对该网站产生怀疑。
研究人员说,LogoKit这个问题很容易成功地解决,因为它只需要执行几行特定的行JavaScript代码。这使得 *** 攻击者能够轻松地将工具包集成到现有工具包中HTML在模板中,或构建简单的表单,伪造企业登录页面。
该工具包的另一个特点是,它可以从可靠的来源加载资源,包括合法的对象存储器。这里还使用了一种新技能,将用户引导到一个已知的域名,使伪造的钓鱼登录页面看起来更真实。
例如,在使用中LogoKit攻击时,发现攻击者会在某些情况下托管他们的钓鱼页面Google Firebase上。谷歌Firebase谷歌云存储支持移动和 *** 应用开发平台Firebase应用程序提供安全的文件上传和下载服务。
工具操作模式
虽然已经发现了LogoKit这些合法的托管服务将被使用,但研究人员还发现,在许多入侵行为中WordPress在网站网站上托管LogoKit工具。在这两种情况下, *** 犯罪分子会向受害者发送具体的电子邮件地址URL。这种URL例如:
"phishingpage. site/login.html#victim@company.com."
研究人员说:"分隔符是'@该符号允许用户使用脚本提取用户/公司域名以获取标识,并最终重定向受害者的 *** 请求。"
若受害者点击URL,LogoKit公司的标志将从第三方服务中获得,如常见的营销数据引擎Clearbit或谷歌的favicons(与特定网页相关的图形图标)数据库。
受害者的电子邮件也将自动填写到登录表的电子邮件或用户名输入栏中。研究人员指出,这种攻击技巧会让受害者误以为他们以前登录过网站。
若受害者输入密码,LogoKit会执行AJAX请求将目标电子邮件和密码发送到外部数据源。
在某些情况下,犯罪分子会使用一些通用的欺骗手段,如网站验证身份,以确保输入的数据和电子邮件地址有效,工具包会 "欺骗用户",说他们的密码是错误的,并提示他们再次输入密码。最后,受害者在输入密码后将被重新定位到其公司网站。
研究人员表示,现在很多行业已经成为攻击者使用LogoKit攻击的目标包括金融、法律和娱乐业。
Castleman说:"LogoKit它为攻击者提供了一个很好的攻击工具,使 *** 攻击者能够轻松地将工具包集成到现有工具中HTML在模板中,或者只需构建一个简单的表单,就可以伪造企业的登录页面。"
本文翻译自:https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如果转载,请注明原始地址。