研究人员发现了一种被称为LogoKit的网络钓鱼工具包,它可以自动将目标公司的logo放置到钓鱼登录页面上,这一功能解决了网络犯罪分子最头疼的问题。这可以使攻击者轻松模仿制作出公司的登录页面,在此之前,想完成这一任务是很困难的。
在过去的30天里,网络犯罪分子已经使用LogoKit对超过700个公司的域名发起了钓鱼攻击。钓鱼攻击页面从常用的登录页面到虚假的SharePoint、Adobe Document Cloud、OneDrive、Office 365和加密货币交易所的登录门户。
RiskIQ的安全研究员Adam Castleman周三表示:"LogoKit实现的功能是发送邮件并在其中附加上钓鱼网页链接,然后添加上公司的标识以增强可信度。这个工具给犯罪分子的攻击提供了便利,同时也可以在不改变模板的情况下实现对于现有材料的重复利用。"
网络钓鱼套件
网络犯罪分子可以以20美元至880美元的价格购买网络钓鱼套件,除了需要一些基本的编程技能外,用户几乎不需要什么技术知识就可以操作。这些工具包经常被用来窃取受害者的各种数据,包括用户名、密码、信用卡号码、社会安全号码等。
为了使用这些工具包,网络犯罪分子首先要入侵合法的内容管理系统,或利用他们自己的网络设施,将其安装在远程服务器上。安装后,攻击者只需要使用电子邮件、短信或社交媒体工具向受害者发送垃圾邮件,并将受害者引导到网络钓鱼工具包的登陆页面。一些网络钓鱼工具还有管理员后台,网络犯罪分子可以查看其恶意网站的访问量,查看受害者泄露的敏感数据。
钓鱼套件并不是什么新鲜事。然而,LogoKit让网络犯罪分子更容易部署钓鱼登录页面。很多时候,网络犯罪分子会在含有漏洞的合法的内容管理系统上使用钓鱼工具包,这样可以很方便地处理复杂的网站布局。但是这样可能会导致登录页面不能正常使用,受害者可能会因此对该网站心生疑虑。
研究人员表示,LogoKit以其简单易用的特点,很轻松地成功解决了这个问题,因为它只需要执行几行特定的JavaScript代码。这使得网络攻击者可以轻松地将该工具包集成到现有的HTML模板中,或者构建一个简单的表单,伪造企业的登录页面。
该工具包的另一个特点在于,它能够从包括合法的对象存储器在内的受信任的来源加载资源。这里还使用了一个新的技巧,链接通过把用户引导到一个已知的域名,使伪造的钓鱼登录页面看起来更加真实。
例如,在使用LogoKit进行攻击的时候,在某些情况下,发现攻击者会将他们的钓鱼页面托管在Google Firebase上。谷歌Firebase是一个移动和网络应用开发平台,由谷歌云存储提供支持,它为Firebase应用提供安全的文件上传和下载服务。
工具运作方式
虽然已经发现LogoKit会使用这些合法的托管服务,但研究人员也发现在许多被入侵的运行WordPress的网站中,也会托管LogoKit工具。在这两种情况下,网络犯罪分子都会向受害者发送一个含有电子邮件地址的特定的URL。这种URL例如:
"phishingpage. site/login.html#[email protected]."
研究人员称:"分隔符是'@'符号,它允许用户使用脚本提取用户/公司的域名来获取标识,并最终将受害者的网络请求进行重定向。"
如果受害者点击URL,LogoKit就会从第三方服务中获取公司的标志,比如常见的营销数据引擎Clearbit或谷歌的favicons(与特定网页相关的图形图标)数据库。
受害者的电子邮件也会被自动填入到登录表单的电子邮件或用户名输入栏中。研究人员指出,这一攻击技巧会使受害者误认为他们之前已经登录过该网站。
如果受害者输入密码,LogoKit会执行AJAX请求,将目标的电子邮件和密码发送到外部数据源中。
在某些情况下,犯罪分子会使用一些通用的欺骗手段,比如网站会进行身份验证,确保输入的数据和电子邮件地址是有效的,工具包会 "欺骗用户",称他们的密码是错误的,并且提示他们再次输入密码。最后,受害者在输入密码后会被重定向到其公司网站。
研究人员表示,现在很多行业已经成为攻击者使用LogoKit进行攻击的目标,包括金融、法律和娱乐行业。
Castleman说:"LogoKit为攻击者提供了一个很好的攻击工具,这使得网络攻击者可以轻松将该工具包集成到现有的HTML模板中,或者只需构建一个简单的表单,就可以伪造企业的登录页面。"
本文翻译自:https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如若转载,请注明原文地址