O EvilProxy usa de fato o redirecionamento aberto do indeed[.]com para phishing no Microsoft 365
4 de Outubro de 2023

Uma campanha de phishing recentemente descoberta está visando contas do Microsoft 365 de executivos-chave em organizações baseadas nos EUA, abusando de redirecionamentos abertos do site de empregos Indeed para listas de empregos.

O ator da ameaça está usando o serviço de phishing EvilProxy, que pode coletar cookies de sessão, que podem ser usados para contornar mecanismos de autenticação de múltiplos fatores (MFA).

Pesquisadores da Menlo Security relatam que os alvos desta campanha de phishing são executivos e funcionários de alto escalão de várias indústrias, incluindo fabricação eletrônica, bancos e finanças, imóveis, seguros e gerenciamento de propriedades.

Redirecionamentos são URLs legítimas que levam visitantes automaticamente para outro local online, geralmente um site de terceiros.

Redirecionamentos abertos são fragilidades no código do site que permitem criar redirecionamentos para locais arbitrários, que os atores de ameaças usaram para direcionar para uma página de phishing.

Porque o link vem de uma parte confiável, ele pode contornar medidas de segurança de email ou ser promovido em resultados de pesquisa sem levantar suspeitas.

Na campanha descoberta pela Menlo Security, os atores de ameaças aproveitam um redirecionamento aberto no indeed[.]com, site americano de listas de empregos.

Os alvos recebem emails com um link indeed[.]com que parece legítimo.

Quando acessado, a URL leva o usuário a um site de phishing atuando como um proxy reverso para a página de login da Microsoft.

EvilProxy é uma plataforma de phishing como serviço que usa proxies reversos para facilitar a comunicação e retransmitir detalhes do usuário entre o alvo e o serviço online genuíno, a Microsoft neste caso.

Quando o usuário acessa sua conta por meio desse servidor de phishing, que imita a página de login autêntica, o ator da ameaça pode capturar os cookies de autenticação.

Porque os usuários já completaram os passos de MFA (multi-factor authentication) necessários durante o login, os cookies adquiridos dão aos cibercriminosos acesso total à conta da vítima.

A Menlo recuperou vários artefatos do ataque que tornam a atribuição ao EvilProxy mais confiante, como:

Hospedagem de servidor Nginx
Caminhos URI específicos anteriormente vinculados ao serviço
Requisito para autenticação de proxy
Presença do código de status 444 na resposta do servidor
Presença de assinaturas IDS projetadas para reconhecer conteúdo uri EvliProxy
Uso da biblioteca FingerprintJS para impressão digital do navegador
Uso de solicitações POST específicas que contêm emails da vítima em formato base64 codificado

Em agosto de 2023, a Proofpoint alertou sobre outra campanha EvilProxy, que distribuiu aproximadamente 120.000 emails de phishing para centenas de organizações, visando as contas Microsoft 365 de seus funcionários.

Infelizmente, o uso de kits de proxy reverso para phishing está crescendo e combiná-los com redirecionamentos abertos aumenta o sucesso de uma campanha.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...