一個(gè)被稱(chēng)為L(zhǎng)ogoKit的網(wǎng)絡(luò)釣魚(yú)工具包浮出水面
研究人員發(fā)現(xiàn)了一種被稱(chēng)為L(zhǎng)ogoKit的網(wǎng)絡(luò)釣魚(yú)工具包,它可以自動(dòng)將目標(biāo)公司的logo放置到釣魚(yú)登錄頁(yè)面上,這一功能解決了網(wǎng)絡(luò)犯罪分子最頭疼的問(wèn)題。這可以使攻擊者輕松模仿制作出公司的登錄頁(yè)面,在此之前,想完成這一任務(wù)是很困難的。
在過(guò)去的30天里,網(wǎng)絡(luò)犯罪分子已經(jīng)使用LogoKit對(duì)超過(guò)700個(gè)公司的域名發(fā)起了釣魚(yú)攻擊。釣魚(yú)攻擊頁(yè)面從常用的登錄頁(yè)面到虛假的SharePoint、Adobe Document Cloud、OneDrive、Office 365和加密貨幣交易所的登錄門(mén)戶(hù)。
RiskIQ的安全研究員Adam Castleman周三表示:"LogoKit實(shí)現(xiàn)的功能是發(fā)送郵件并在其中附加上釣魚(yú)網(wǎng)頁(yè)鏈接,然后添加上公司的標(biāo)識(shí)以增強(qiáng)可信度。這個(gè)工具給犯罪分子的攻擊提供了便利,同時(shí)也可以在不改變模板的情況下實(shí)現(xiàn)對(duì)于現(xiàn)有材料的重復(fù)利用。"
網(wǎng)絡(luò)釣魚(yú)套件
網(wǎng)絡(luò)犯罪分子可以以20美元至880美元的價(jià)格購(gòu)買(mǎi)網(wǎng)絡(luò)釣魚(yú)套件,除了需要一些基本的編程技能外,用戶(hù)幾乎不需要什么技術(shù)知識(shí)就可以操作。這些工具包經(jīng)常被用來(lái)竊取受害者的各種數(shù)據(jù),包括用戶(hù)名、密碼、信用卡號(hào)碼、社會(huì)安全號(hào)碼等。
為了使用這些工具包,網(wǎng)絡(luò)犯罪分子首先要入侵合法的內(nèi)容管理系統(tǒng),或利用他們自己的網(wǎng)絡(luò)設(shè)施,將其安裝在遠(yuǎn)程服務(wù)器上。安裝后,攻擊者只需要使用電子郵件、短信或社交媒體工具向受害者發(fā)送垃圾郵件,并將受害者引導(dǎo)到網(wǎng)絡(luò)釣魚(yú)工具包的登陸頁(yè)面。一些網(wǎng)絡(luò)釣魚(yú)工具還有管理員后臺(tái),網(wǎng)絡(luò)犯罪分子可以查看其惡意網(wǎng)站的訪問(wèn)量,查看受害者泄露的敏感數(shù)據(jù)。
釣魚(yú)套件并不是什么新鮮事。然而,LogoKit讓網(wǎng)絡(luò)犯罪分子更容易部署釣魚(yú)登錄頁(yè)面。很多時(shí)候,網(wǎng)絡(luò)犯罪分子會(huì)在含有漏洞的合法的內(nèi)容管理系統(tǒng)上使用釣魚(yú)工具包,這樣可以很方便地處理復(fù)雜的網(wǎng)站布局。但是這樣可能會(huì)導(dǎo)致登錄頁(yè)面不能正常使用,受害者可能會(huì)因此對(duì)該網(wǎng)站心生疑慮。
研究人員表示,LogoKit以其簡(jiǎn)單易用的特點(diǎn),很輕松地成功解決了這個(gè)問(wèn)題,因?yàn)樗恍枰獔?zhí)行幾行特定的JavaScript代碼。這使得網(wǎng)絡(luò)攻擊者可以輕松地將該工具包集成到現(xiàn)有的HTML模板中,或者構(gòu)建一個(gè)簡(jiǎn)單的表單,偽造企業(yè)的登錄頁(yè)面。
該工具包的另一個(gè)特點(diǎn)在于,它能夠從包括合法的對(duì)象存儲(chǔ)器在內(nèi)的受信任的來(lái)源加載資源。這里還使用了一個(gè)新的技巧,鏈接通過(guò)把用戶(hù)引導(dǎo)到一個(gè)已知的域名,使偽造的釣魚(yú)登錄頁(yè)面看起來(lái)更加真實(shí)。
例如,在使用LogoKit進(jìn)行攻擊的時(shí)候,在某些情況下,發(fā)現(xiàn)攻擊者會(huì)將他們的釣魚(yú)頁(yè)面托管在Google Firebase上。谷歌Firebase是一個(gè)移動(dòng)和網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)平臺(tái),由谷歌云存儲(chǔ)提供支持,它為Firebase應(yīng)用提供安全的文件上傳和下載服務(wù)。
工具運(yùn)作方式
雖然已經(jīng)發(fā)現(xiàn)LogoKit會(huì)使用這些合法的托管服務(wù),但研究人員也發(fā)現(xiàn)在許多被入侵的運(yùn)行WordPress的網(wǎng)站中,也會(huì)托管LogoKit工具。在這兩種情況下,網(wǎng)絡(luò)犯罪分子都會(huì)向受害者發(fā)送一個(gè)含有電子郵件地址的特定的URL。這種URL例如:
"phishingpage. site/login.html#victim@company.com."
研究人員稱(chēng):"分隔符是'@'符號(hào),它允許用戶(hù)使用腳本提取用戶(hù)/公司的域名來(lái)獲取標(biāo)識(shí),并最終將受害者的網(wǎng)絡(luò)請(qǐng)求進(jìn)行重定向。"
如果受害者點(diǎn)擊URL,LogoKit就會(huì)從第三方服務(wù)中獲取公司的標(biāo)志,比如常見(jiàn)的營(yíng)銷(xiāo)數(shù)據(jù)引擎Clearbit或谷歌的favicons(與特定網(wǎng)頁(yè)相關(guān)的圖形圖標(biāo))數(shù)據(jù)庫(kù)。
受害者的電子郵件也會(huì)被自動(dòng)填入到登錄表單的電子郵件或用戶(hù)名輸入欄中。研究人員指出,這一攻擊技巧會(huì)使受害者誤認(rèn)為他們之前已經(jīng)登錄過(guò)該網(wǎng)站。
如果受害者輸入密碼,LogoKit會(huì)執(zhí)行AJAX請(qǐng)求,將目標(biāo)的電子郵件和密碼發(fā)送到外部數(shù)據(jù)源中。
在某些情況下,犯罪分子會(huì)使用一些通用的欺騙手段,比如網(wǎng)站會(huì)進(jìn)行身份驗(yàn)證,確保輸入的數(shù)據(jù)和電子郵件地址是有效的,工具包會(huì) "欺騙用戶(hù)",稱(chēng)他們的密碼是錯(cuò)誤的,并且提示他們?cè)俅屋斎朊艽a。最后,受害者在輸入密碼后會(huì)被重定向到其公司網(wǎng)站。
研究人員表示,現(xiàn)在很多行業(yè)已經(jīng)成為攻擊者使用LogoKit進(jìn)行攻擊的目標(biāo),包括金融、法律和娛樂(lè)行業(yè)。
Castleman說(shuō):"LogoKit為攻擊者提供了一個(gè)很好的攻擊工具,這使得網(wǎng)絡(luò)攻擊者可以輕松將該工具包集成到現(xiàn)有的HTML模板中,或者只需構(gòu)建一個(gè)簡(jiǎn)單的表單,就可以偽造企業(yè)的登錄頁(yè)面。"
本文翻譯自:https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
