Gli aggressori stanno sfruttando un noto difetto di reindirizzamento aperto per phishing delle credenziali delle persone e delle informazioni di identificazione personale (PII) utilizzando i domini American Express e Snapchat, hanno scoperto i ricercatori.
Gli attori delle minacce hanno impersonato Microsoft e FedEx tra gli altri marchi in due diverse campagne, che i ricercatori di INKY hanno osservato da metà maggio a fine luglio, hanno detto in un post sul blog pubblicato online. Gli aggressori hanno approfittato delle vulnerabilità di reindirizzamento che interessano i domini American Express e Snapchat, il primo dei quali alla fine è stato patchato mentre il secondo non lo è ancora, hanno detto i ricercatori.
Il reindirizzamento aperto è una vulnerabilità di sicurezza che si verifica quando un sito Web non riesce a convalidare l'input dell'utente, il che consente ai malintenzionati di manipolare gli URL dei domini da entità legittime con una buona reputazione per reindirizzare le vittime a siti dannosi, hanno detto i ricercatori. La vulnerabilità è ben nota e monitorata come CWE-601: URL Redirection to Untrusted Site ("Open Redirect").
"Poiché il primo nome di dominio nel link manipolato è in realtà il sito originale, il collegamento può sembrare sicuro per l'osservatore casuale", ha spiegato Roger Kay di INKY nel post.
Un esempio di dominio di reindirizzamento dannoso è: http[://]safe[.] com/redirect? [url=http:]//malicious[.] com. Il dominio attendibile, quindi, in questo caso, American Express o Snapchat, viene utilizzato come pagina di destinazione temporanea prima che la vittima della campagna venga reindirizzata a un sito dannoso.
Durante il periodo di due mesi e mezzo durante il quale sono state osservate le campagne, i ricercatori hanno rilevato lo snapchat [.] Vulnerabilità di reindirizzamento aperto com in 6.812 e-mail di phishing provenienti da vari account dirottati, hanno detto. Nel frattempo, in soli due giorni alla fine di luglio, hanno osservato l'americanexpress. Vulnerabilità di reindirizzamento aperto COM in 2.029 e-mail di phishing provenienti da domini appena creati.
Somiglianze di attacco
Entrambe le campagne sono iniziate con e-mail di phishing utilizzando le tipiche tattiche di ingegneria sociale per cercare di indurre gli utenti a fare clic su collegamenti o allegati dannosi, hanno detto i ricercatori.
Le due campagne hanno anche utilizzato exploit in cui gli aggressori hanno inserito PII nell'URL apparentemente legittimo in modo che le pagine di destinazione dannose potessero essere personalizzate al volo per le singole vittime, hanno detto.
"Questo inserimento è stato mascherato convertendolo in Base 64 per farlo sembrare un mucchio di personaggi casuali", ha scritto Kay. "Abbiamo inserito i nostri caratteri casuali in queste stringhe in modo che l'osservatore casuale non fosse in grado di decodificare le stringhe PII".
Quando vengono reindirizzati a un altro sito, le vittime penserebbero che il link si stia dirigendo verso un posto sicuro; Tuttavia, a loro insaputa, i domini a cui venivano reindirizzati erano siti dannosi per raccogliere le loro credenziali o esporli a malware, hanno detto i ricercatori.
Caratteristiche specifiche della campagna
Sebbene ci fossero somiglianze tra le due campagne, c'erano anche tattiche specifiche per ciascuna, hanno detto i ricercatori.
Le e-mail di phishing nel gruppo di reindirizzamento aperto Snapchat impersonavano DocuSign, FedEx e Microsoft, e tutte avevano reindirizzamenti aperti Snapchat che portavano a siti di raccolta delle credenziali Microsoft, hanno detto i ricercatori.
La vulnerabilità di reindirizzamento aperto sul dominio Snapchat è stata priva di patch al momento della campagna e rimane tale, anche se Open Bug Bounty l'ha segnalata alla società il 4 agosto 2021, ha osservato Kay.
Anche il bug di reindirizzamento aperto sul dominio American Express è apparso inizialmente senza patch, ha detto. Quando la campagna di phishing che lo utilizzava è iniziata, il link di reindirizzamento aperto è andato ai siti di raccolta delle credenziali Microsoft, hanno osservato i ricercatori. Tuttavia, poco dopo, American Express ha corretto la vulnerabilità, ha detto Kay.
"Ora, gli utenti che fanno clic sul collegamento finiscono su una vera pagina di errore American Express", ha scritto.
Mitigazione e prevenzione semplici
Oltre a correggere i difetti di reindirizzamento aperto sui loro domini, i proprietari di siti Web in genere non danno a queste vulnerabilità l'attenzione che meritano, probabilmente "perché non consentono agli aggressori di danneggiare o rubare dati dal sito", ha osservato Kay.
"Dal punto di vista dell'operatore del sito web, l'unico danno che potenzialmente si verifica è il danno alla reputazione del sito", ha scritto.
Se i proprietari di domini si preoccupano di mitigare ulteriormente gli attacchi utilizzando il reindirizzamento aperto, possono adottare alcuni semplici passaggi, ha osservato Kay. Uno è abbastanza ovvio: evitare del tutto l'implementazione del reindirizzamento nell'architettura del sito, ha detto. Tuttavia, se è necessario per motivi commerciali, i proprietari di domini possono implementare un elenco consentito di collegamenti sicuri approvati per mitigare l'abuso di reindirizzamento aperto.
I proprietari di domini possono anche presentare agli utenti una dichiarazione di non responsabilità di reindirizzamento esterna che richiede i clic dell'utente prima di reindirizzare a siti esterni, ha aggiunto Kay.
Poiché sono le vittime di queste campagne che sono i veri perdenti – con il potenziale di essere sollevati da credenziali, dati e possibilmente anche denaro – dovrebbero anche prendere alcune misure per proteggersi, ha detto.
Quando esaminano i link mentre esplorano i siti online, le persone dovrebbero tenere d'occhio gli URL che includono, ad esempio, "url =", "reindirizza =", "collegamento esterno" o "proxy". Queste stringhe potrebbero indicare che un dominio trusted potrebbe reindirizzare a un altro sito, ha osservato Kay.
I destinatari di e-mail con collegamenti dovrebbero anche controllarli per più occorrenze di "http" nell'URL, un'altra potenziale indicazione di reindirizzamento, ha detto.