Сайты Snapchat и American Express используются в фишинговых атаках Microsoft 365

[Artifact]

С помощью Open Redirects и Base 64 злоумышленник проводит фишинговую кампанию с индивидуальным подходом к каждой жертве.

Злоумышленники использовали уязвимости открытого перенаправления (Open Redirects) на сайтах Snapchat и American Express в рамках серии фишинговых атак с целью кражи учетных данных Microsoft 365.
Открытые перенаправления (Open Redirects) — это уязвимости веб-приложений, которые позволяют хакеру использовать домены доверенных организаций и сайтов в качестве временных целевых страниц для упрощения фишинговых атак. Ошибки Open Redirects используются в атаках перенаправления жертв на вредоносные сайты, которые либо заражают вредоносными программами, либо обманным путем вынуждают жертву передать конфиденциальную информацию (учетные данные, платежную и личную информацию и т.д.).
«Доверенный домен (например, American Express, Snapchat) действует как временная целевая страница, прежде чем пользователь будет перенаправлен на вредоносный сайт», - объяснили специалисты Inky в опубликованном отчете .


Фишинговые электронные письма, выдающие себя за Microsoft и FedEx
По словам исследователей Inky , открытая переадресация Snapchat использовалась в 6 812 фишинговых электронных письмах, отправленных из Google Workspace и Microsoft 365, взломанных за 2,5 месяца. Эти электронные письма выдавали себя за Microsoft, DocuSign и FedEx и перенаправляли получателей на целевые страницы, предназначенные для сбора учетных данных Microsoft.

Фишинговая страница Microsoft для сбора данных
Хотя об уязвимости Snapchat сообщила исследователь ayushsinha31 через платформу Open Bug Bounty ещё 4 августа 2021 года, ошибка Open Redirect по-прежнему не исправлена.
Кроме того, ошибка перенаправления American Express была исправлена после того, как её использовали злоумышленники в течение нескольких дней в конце июля. Открытое перенаправление American Express использовалось в 2029 фишинговых электронных письмах с использованием приманок Microsoft Office 365, отправленных с недавно зарегистрированных доменов для перенаправления потенциальных жертв на сайты сбора учетных данных Microsoft.
«В эксплойтах Snapchat и American Express злоумышленники вставляли личную информацию в URL-адрес, чтобы вредоносные целевые страницы настраивались «на лету» для отдельных жертв. В обоих случаях эта вставка была замаскирована путем преобразования ее в Base 64, чтобы она выглядела как набор случайных символов», — объяснили в Inky.
Чтобы защититься от таких атак, эксперты посоветовали получателям электронной почты проверять наличие строк «url=», «redirect=», «external-link», «proxy» или множественных вхождений «HTTP» в URL-адресах, встроенных в электронные письма. Владельцам веб-сайтов также рекомендуется внедрить заявления об отказе от внешнего перенаправления, которые просят пользователей щелкнуть перед перенаправлением на внешние сайты.