Yakın zamanda ortaya çıkarılan bir kimlik avı kampanyası, iş ilanları için Indeed istihdam web sitesinden gelen açık yönlendirmeleri kötüye kullanarak ABD merkezli kuruluşlardaki kilit yöneticilerin Microsoft 365 hesaplarını hedef alıyor.
Tehdit aktörü, çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atlamak için kullanılabilen oturum çerezlerini toplayabilen EvilProxy kimlik avı hizmetini kullanıyor.
Menlo Security’deki araştırmacılar, bu kimlik avı kampanyasının hedeflerinin elektronik imalat, bankacılık ve finans, emlak, sigorta ve mülk yönetimi dahil olmak üzere çeşitli sektörlerdeki yöneticiler ve üst düzey çalışanlar olduğunu bildirdi.
Yönlendirmeler, ziyaretçileri otomatik olarak başka bir çevrimiçi konuma, genellikle üçüncü taraf bir web sitesine yönlendiren meşru URL’lerdir.
Açık yönlendirmeler, web sitesi kodundaki, tehdit aktörlerinin kimlik avı sayfasına yönlendirmek için kullandığı rastgele konumlara yönlendirmeler oluşturulmasına olanak tanıyan zayıflıklardır.
Bağlantı güvenilir bir taraftan geldiğinden, e-posta güvenlik önlemlerini atlayabilir veya şüphe uyandırmadan arama sonuçlarında tanıtılabilir.
Menlo Security’nin keşfettiği kampanyada, tehdit aktörleri Amerika’nın iş ilanları sitesi olan Indeed.com’da açık bir yönlendirmeden yararlanıyor.
Hedefler, meşru görünen bir Indeed.com bağlantısı içeren e-postalar alır. URL’ye erişildiğinde, URL kullanıcıyı Microsoft’un oturum açma sayfası için ters proxy görevi gören bir kimlik avı sitesine yönlendirir.
EvilProxy, hedef ile gerçek çevrimiçi hizmet (bu durumda Microsoft) arasındaki iletişimi kolaylaştırmak ve kullanıcı ayrıntılarını aktarmak için ters proxy’ler kullanan bir hizmet olarak kimlik avı platformudur.
Kullanıcı, orijinal giriş sayfasını taklit eden bu kimlik avı sunucusu aracılığıyla hesabına eriştiğinde, tehdit aktörü kimlik doğrulama çerezlerini yakalayabilir.
Kullanıcılar oturum açma sırasında gerekli MFA (çok faktörlü kimlik doğrulama) adımlarını zaten tamamlamış olduğundan, elde edilen çerezler siber suçlulara kurbanın hesabına tam erişim sağlar.
Menlo, saldırıdan EvilProxy’ye atıf yapmayı daha güvenli hale getiren çeşitli eserleri kurtardı, örneğin:
- Nginx sunucu barındırma
- Daha önce hizmete bağlanmış belirli URI yolları
- Proxy kimlik doğrulaması gereksinimi
- Sunucu yanıtında 444 durum kodunun bulunması
- EvliProxy uri içeriğini tanımak için tasarlanmış IDS imzalarının varlığı
- Tarayıcı parmak izi için FingerprintJS kütüphanesinin kullanımı
- Base64 kodlu biçimde kurban e-postalarını içeren belirli POST isteklerinin kullanımı
Ağustos 2023’te Proofpoint, yüzlerce kuruluşa yaklaşık 120.000 kimlik avı e-postası dağıtan ve çalışanlarının Microsoft 365 hesaplarını hedef alan başka bir EvilProxy kampanyası hakkında uyarıda bulundu.
Ne yazık ki kimlik avı için ters proxy kitlerinin kullanımı artıyor ve bunları açık yönlendirmelerle birleştirmek kampanyanın başarısını artırıyor.