Resecurity a identifié des menaces vedettes tirant parti des vulnérabilités de redirection ouvertes dans les services et les applications en ligne pour contourner les filtres anti-spam afin de fournir éventuellement du contenu de phishing.
Utilisant des domaines de service hautement dépendants tels que Snapchat et d’autres services en ligne, ils créent des URL uniques qui causent des ressources nuisibles avec des packages de phishing. Le kit identifié s’appelle LogoKit, qui était auparavant utilisé dans des attaques contre les clients d’Office 365, Bank of America, GoDaddy, Virgin Fly et de nombreuses autres banques et services en ligne importants dans le monde.
Le pic de LogoKit a été déterminé vers le début du mois d’août, lorsque de nombreux nouveaux services usurpant l’identité de domaine ont été signés et exploités avec des redirections ouvertes. Alors que LogoKit est connu depuis un certain temps dans la clandestinité, du moins depuis 2015, le groupe de cybercriminalité derrière lui tire constamment parti de nouvelles méthodes.
LogoKit est compris pour sa génération de contenu dynamique à l’aide de JavaScript– il a la capacité de modifier les conceptions de logo (du service imité) et le texte sur les pages de destination en temps réel pour s’adapter à la volée, en ce faisant, les victimes ciblées sont plus susceptibles de se connecter avec la ressource destructrice. Vers novembre 2021, il y avait plus de 700 domaines identifiés utilisés dans les campagnes utilisant LogoKit – leur nombre ne cesse d’augmenter.
En particulier, les acteurs préfèrent utiliser des noms de domaine dans des juridictions exotiques ou des zones avec un processus de gestion des abus raisonnablement médiocre–. gq,. ml,. tk, ga,. cf ou pour obtenir un accès non approuvé à de véritables ressources WEB, puis les utiliser comme hébergement pour une diffusion ultérieure de phishing.
LogoKit compte sur l’envoi aux utilisateurs de liens de phishing contenant leurs adresses e-mail. Dès que la victime accède à l’URL, LogoKit récupère la conception du logo de l’entreprise à partir d’un service tiers, tel que Clearbit ou la base de données favicon de Google. L’e-mail de la victime est ensuite rempli par le véhicule dans le champ de l’e-mail ou du nom d’utilisateur, ce qui lui donne ensuite l’impression qu’il a déjà visité le site. Si la victime entre ensuite son mot de passe, LogoKit effectue une requête AJAX, envoyant l’e-mail et le mot de passe de la cible à une source externe, puis redirige finalement la victime vers son « véritable » site Web d’entreprise.
Ces méthodes permettent aux cybercriminels de masquer leur activité derrière les notifications de services légitimes pour échapper à la détection, incitant ainsi la victime à accéder à la ressource malveillante.
Malheureusement, l’utilisation de vulnérabilités de redirection ouvertes aide considérablement à la circulation de LogoKit, car de nombreux (même populaires) les services en ligne ne traitent pas ces bogues comme étant importants, et parfois– ne les corrigent même pas, laissant la porte ouverte à de tels abus.
Toute l’actualité en temps réel, est sur L’Entrepreneur
