Ott 04, 2023 Attacchi, News, Phishing, RSS

I ricercatori di Menlo Security hanno individuato una campagna di phishing contro gli utenti Indeed che ha colpito dirigenti di aziende di diversi settori, per lo più dei servizi finanziari e assicurativi, agenzie immobiliari e industrie del manifatturiero.

Gli attaccanti hanno utilizzato un kit di phishing chiamato Evil Proxy, un tool per il reverse proxy in grado di intercettare la comunicazione tra l’utente e il sito legittimo. Evil Proxy è in grado di ottenere il cookie di sessione e superare i controlli della MFA.

La campagna, classico esempio di attacco Adversary In The Middle, è cominciata lo scorso luglio e ha continuato a mietere vittime fino a inizio settembre.

Gli attaccanti hanno preso di mira numerosi dirigenti aziendali inviandogli un’email di phishing contenente un link che naviga verso una finta pagina di login di Microsoft Online, sviluppata utilizzando Evil Proxy. Sia l’url contenuto nel corpo del messaggio che il mittente dell’email avevano riferimenti a Indeed.

Dopo aver navigato sulla pagina creata ad hoc, la vittima inseriva le proprie credenziali che venivano intercettate dagli attaccanti, i quali poi le utilizzavano per accedere all’account Microsoft Online.

I cybercriminali hanno sfruttato la vulnerabilità di Open Redirection di Indeed che consente di reindirizzare l’utente verso un altro sito. Generalmente le pagine web dovrebbero filtrare i redirezionamenti e abilitarli solo per domini fidati, cosa che non accade sulla piattaforma per la ricerca di lavoro.

In questo caso le vittime cliccavano su un link con sub-dominio “t.indeed.com” pensando di navigare sulla piattaforma, ma venivano poi reindirizzate verso la pagina di login; pensando fosse legittima e parte del flusso per accedere ai servizi di Indeed, inserivano le credenziali che venivano poi sottratte.

Al momento non ci sono indicazioni sull’identità degli attaccanti. Secondo i ricercatori, è probabile che nei prossimi mesi sempre più cybercriminali useranno Evil Proxy per le campagne di phishing: il tool è facile da usare e consente di superare i controlli della MFA:

• evil proxy, indeed, MFA, Microsoft Online, open redirection, Phishing, vulnerabilità