Resecurity’deki araştırmacılar, kimlik avı içeriği sunmak için spam filtrelerinden kaçmak için çevrimiçi hizmetlerde ve uygulamalarda popüler olan Açık Yönlendirme Güvenlik Açıklarından yararlanan tehdit aktörlerini fark ettiler. Snapchat ve diğer çevrimiçi hizmetler gibi güvenilir hizmet alanları, kimlik avı kitleriyle kötü amaçlı kaynaklara yol açan özel URL’ler oluşturur.
Tanımlanan kit, daha önce Office 365, Bank of America, GoDaddy, Virgin Fly ve diğer finansal kurumlara ve çevrimiçi hizmetlere yönelik saldırılarda kullanılan ‘LogoKit’ olarak adlandırıldı.
LogoKit – Kimlik Avı Kiti
LogoKit, JavaScript kullanarak dinamik içerik oluşturmasıyla tanınır. Anında uyum sağlamak için kimliğine bürünülen hizmetin logolarını ve açılış sayfalarındaki metni değiştirebilir. Bu nedenle, hedeflenen kurbanlar muhtemelen kötü niyetli kaynakla etkileşime girecektir.
Analiz, Kasım 2021’de LogoKit’ten yararlanan kampanyalarda kullanılan 700’den fazla tanımlanmış alan adı olduğunu ve artmaya devam ettiğini söylüyor.
Araştırmacılar, bu durumda, aktörlerin, kötüye kullanım yönetimi süreci nispeten zayıf olan egzotik yargı bölgelerindeki alan adlarını (.gq, .ml, .tk, ga, .cf) veya meşru WEB kaynaklarına yetkisiz erişim elde etmek için kullanmayı ve daha sonra bunları kullanmayı seçtiklerini söylüyorlar. onları daha fazla kimlik avı dağıtımı için barındırma olarak.
LogoKit operatörleri, kurbanlara e-posta adreslerini içeren kişiselleştirilmiş, özel hazırlanmış bir URL gönderir. Bir kurban URL’ye gittiğinde LogoKit, Clearbit veya Google’ın favicon veritabanı gibi bir üçüncü taraf hizmetten istenen şirket logosunu getirir.
Gömülü bağlantı, Snapchat’teki Açık Yönlendirme Güvenlik Açığı’ndan yararlanıyor ve Google’dan başka bir URL, bir kimlik avı kaynağına yönlendiriyor.
Kurbanın e-postası ayrıca e-posta veya kullanıcı adı alanına otomatik olarak doldurulur ve kurbanları, bu sitenin daha önce ziyaret ettikleri ve giriş yaptıkları tanıdık bir site olduğunu düşünmeleri için kandırır. LogoKit, kullanıcıyı URL’yi tıkladığında ziyaret etmeyi amaçladığı kurumsal web sitesine yönlendirmeden önce, saldırganın sahip olduğu bir sunucuya e-posta ve şifrelerini gönderen bir AJAX isteği gerçekleştirir.
Tehdit aktörleri, şablon değiştirmeye gerek duymadan, LogoKit betiğinin kendisi, kötü amaçlı betiklerin veya ana saldırgan altyapısının gömülmesine yardımcı olacaktır.
“Ne yazık ki, Açık Yönlendirme güvenlik açıklarının kullanımı LogoKit dağıtımını önemli ölçüde kolaylaştırıyor, çünkü birçok (hatta popüler) çevrimiçi hizmet bu tür hataları kritik olarak ele almıyor ve bazı durumlarda – bu tür kötüye kullanım için açık kapı bırakarak yama yapmayın bile. ”, Güvenlik
Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook günlük Siber Güvenlik ve hack haber güncellemeleri için.