安全厂商Resecurity发现,黑客利用名为LogoKit的恶意程序开采知名线上服务网站上的开放重导向漏洞,以回避侦测软件,发送钓鱼邮件。
LogoKit其实并非新恶意程序,至少早在2015年就已出现当地下网站,利用防护较弱的网站作为跳板发动钓鱼攻击。安全厂商发现,LogoKit 7月到8月初又开始活跃。攻击者利用Snapchat的开放重导向(Open Redirect)漏洞,发动钓鱼信件攻击。
LogoKit最为人所知是利用JavaScript动态产生钓渔网站内容,包括即时变换钓鱼登陆页的logo及文本,以更有效引诱用户和恶意网站互动。攻击者偏好使用一些疏于网站管理的小国家域名,像是赤道几内亚(.gq)、马利(.ml)、新西兰自治区托克劳(.tk)、加蓬(ga)及中非共和国(.cf)等域名,或是黑入合法云计算服务,托管于这些网站上,作为各种恶意活动(如搜集受害者资讯或重导向流量)的据点。
黑客依赖发送包含钓鱼连接的邮件。当用户浏览该连接,LogoKit就会从第三方服务如Clearbit或Google favicon数据库抓取知名公司logo,这时用户收到的邮件中的用户名称及邮件信箱字段就会自动加载内容,让用户以为他们以前曾经登录过。如果受害者输入邮件信箱密码,LogoKit就会执行AJAX调用,将用户的邮件信箱和密码送到外部网站,同时以把受害者导向钓渔网站。
研究人员侦测到LogoKit近日被大量使用,单单上个月利用LogoKit当作钓鱼攻击的合法域名至少有700个,而光是8月初第一周又增加300多个,包括Office 365、GoDaddy、维珍航空、应用程序开发平台Firebase及多家金融机构等都是受害者。
今年7月13日研究人员侦测到发生在美国及拉丁美洲的攻击中,滥用了Snapchat的开放重导向漏洞,攻击者发送看似Office 365邮件的恶意信件,内文嵌入的连接有Snapchat及另一个Google URL,再导向冒充微软Office 365的钓渔网站。经过解析,该钓渔网站是托管理多米尼加的某个网站。而在导向过程中,受害者的密码及邮件信箱,同时暗中发送到托管于哥伦比亚域名的网站。
研究人员指出,利用开放重导向漏洞可让黑客以合法掩护非法,回避侦测,然而由于一些线上服务并不认为这是大问题,有的甚至放任不修补,而使网站安全洞开并且助长犯罪。
另一家安全厂商Inky Security近日也发现Snapchat的开放重导向漏洞被用以窃取Microsoft 365用户的凭证资料。该公司侦测5月到7月,Snapchat网站发出了近7,000封钓鱼信件。Inky Security怀疑,Snapchat很早就知道漏洞,但直到近日才修补。