研究人员发现了一种名为LogoKit的钓鱼工具包,它会自动将目标公司的徽标放置在钓鱼登陆页面上,该功能解决了网络犯罪分子最头疼的问题。这可能使攻击者很容易模仿公司的登录页面,这是以前很难完成的任务。在过去的30天里,网络犯罪分子利用LogoKit对700多家公司的域名发起了钓鱼攻击。网络钓鱼攻击页面的范围从常用的登录页面到SharePoint、AdobeDocumentCloud、OneDrive、Office365和加密货币交易所的虚假登录门户。RiskIQ的安全研究员AdamCastleman周三表示:“LogoKit的功能是发送电子邮件并在其中附加钓鱼网站链接,然后添加公司徽标以增强可信度。该工具为犯罪分子的攻击提供了便利,并且同时还可以在不改变模板的情况下,重复使用已有的素材。”网络犯罪分子可以以20美元到880美元的任何价格购买网络钓鱼工具包,并且除了需要一些基本的编程技能外,用户几乎不需要任何技术知识即可操作。这些工具包通常用于窃取受害者的各种数据,包括用户名、密码、信用卡号、社会保险号等。要使用这些工具包,网络罪犯首先需要侵入合法的内容管理系统,或使用自己的网络设施将它们安装到远程服务器上。安装后,攻击者只需使用电子邮件、短信或社交媒体工具向受害者发送垃圾邮件,并将受害者引导至网络钓鱼工具包的登录页面。一些网络钓鱼工具包还有一个管理员后台,允许网络罪犯查看其恶意网站的流量并查看受害者泄露的敏感数据。钓鱼工具并不是什么新鲜事。但是,LogoKit让网络罪犯更容易部署钓鱼登录页面。很多时候,网络罪犯在易受攻击的合法内容管理系统上使用网络钓鱼工具包,这些系统可以轻松处理复杂的网站布局。但这可能会导致登录页面无法使用,受害者可能会对网站产生怀疑。根据研究人员的说法,LogoKit因其简单易用而轻松地成功解决了这个问题,因为它只需要执行几行特定的JavaScript代码。这使得网络攻击者可以轻松地将工具包集成到现有的HTML模板中,或者构建一个简单的表单来伪造企业的登录页面。该工具包的另一个特点是它能够从包括合法对象存储在内的可信来源加载资源。这里还使用了一个新技巧,其中链接通过将用户定向到已知域名来使虚假的网络钓鱼登录页面看起来更真实。例如,在使用LogoKit的攻击中,在某些情况下,攻击者被发现将其钓鱼页面托管在GoogleFirebase上。GoogleFirebase是一个由GoogleCloudStorage提供支持的移动和Web应用程序开发平台,它为Firebase应用程序提供安全的文件上传和下载服务。该工具的工作原理虽然LogoKit被发现使用这些合法的托管服务,但研究人员还发现,许多运行WordPress的受感染网站也托管了LogoKit工具。在这两种情况下,网络罪犯都会向受害者发送一个包含电子邮件地址的特定URL。此类URL例如:“phishingpage.site/login.html#victim@company.com”。据研究人员介绍:“分隔符是'@'符号,它允许用户使用脚本提取用户/公司的域名以获得身份,并最终重定向受害者的网络请求。”如果受害者点击该URL,LogoKit将从第三方服务中获取该公司的标志,例如常见的营销数据引擎Clearbit或谷歌的favicons(与特定网页相关的图形图标)数据库。受害者的电子邮件也是自动-填写登录表单的电子邮件或用户名输入字段。据研究人员称,这种攻击技巧会诱使受害者认为他们之前已经登录过该站点。如果受害者输入密码,LogoKit会执行AJAX请求以发送目标电子邮件和密码到外部数据源。在某些情况下,犯罪分子使用常见的技巧,例如网站身份验证以确保输入的数据和电子邮件地址有效,以及工具包“诱骗用户”说他们的密码错误,并提示他们输入他们的密码。最后,受害者在输入密码后被重定向到他们公司的网站。许多行业现在已经成为使用LogoKit的攻击者的目标,包括研究人员说,金融、法律和娱乐行业。“LogoKit为攻击者提供了一个强大的攻击工具,这使得网络攻击者可以轻松地将工具包集成到现有的HTML模板中,或者简单地构建一个简单的表单来伪造企业,”Castleman说。的登录页面。》本文翻译自:https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如有转载请注明出处。
