[[385402]]

研究人員發(fā)現(xiàn)了一種被稱為LogoKit的網(wǎng)絡(luò)釣魚工具包，它可以自動(dòng)將目標(biāo)公司的logo放置到釣魚登錄頁面上，這一功能解決了網(wǎng)絡(luò)犯罪分子最頭疼的問題。這可以使攻擊者輕松模仿制作出公司的登錄頁面，在此之前，想完成這一任務(wù)是很困難的。

在過去的30天里，網(wǎng)絡(luò)犯罪分子已經(jīng)使用LogoKit對超過700個(gè)公司的域名發(fā)起了釣魚攻擊。釣魚攻擊頁面從常用的登錄頁面到虛假的SharePoint、Adobe Document Cloud、OneDrive、Office 365和加密貨幣交易所的登錄門戶。

RiskIQ的安全研究員Adam Castleman周三表示："LogoKit實(shí)現(xiàn)的功能是發(fā)送郵件并在其中附加上釣魚網(wǎng)頁鏈接，然后添加上公司的標(biāo)識以增強(qiáng)可信度。這個(gè)工具給犯罪分子的攻擊提供了便利，同時(shí)也可以在不改變模板的情況下實(shí)現(xiàn)對于現(xiàn)有材料的重復(fù)利用。"

網(wǎng)絡(luò)釣魚套件

網(wǎng)絡(luò)犯罪分子可以以20美元至880美元的價(jià)格購買網(wǎng)絡(luò)釣魚套件，除了需要一些基本的編程技能外，用戶幾乎不需要什么技術(shù)知識就可以操作。這些工具包經(jīng)常被用來竊取受害者的各種數(shù)據(jù)，包括用戶名、密碼、信用卡號碼、社會安全號碼等。

為了使用這些工具包，網(wǎng)絡(luò)犯罪分子首先要入侵合法的內(nèi)容管理系統(tǒng)，或利用他們自己的網(wǎng)絡(luò)設(shè)施，將其安裝在遠(yuǎn)程服務(wù)器上。安裝后，攻擊者只需要使用電子郵件、短信或社交媒體工具向受害者發(fā)送垃圾郵件，并將受害者引導(dǎo)到網(wǎng)絡(luò)釣魚工具包的登陸頁面。一些網(wǎng)絡(luò)釣魚工具還有管理員后臺，網(wǎng)絡(luò)犯罪分子可以查看其惡意網(wǎng)站的訪問量，查看受害者泄露的敏感數(shù)據(jù)。

釣魚套件并不是什么新鮮事。然而，LogoKit讓網(wǎng)絡(luò)犯罪分子更容易部署釣魚登錄頁面。很多時(shí)候，網(wǎng)絡(luò)犯罪分子會在含有漏洞的合法的內(nèi)容管理系統(tǒng)上使用釣魚工具包，這樣可以很方便地處理復(fù)雜的網(wǎng)站布局。但是這樣可能會導(dǎo)致登錄頁面不能正常使用，受害者可能會因此對該網(wǎng)站心生疑慮。

研究人員表示，LogoKit以其簡單易用的特點(diǎn)，很輕松地成功解決了這個(gè)問題，因?yàn)樗恍枰獔?zhí)行幾行特定的JavaScript代碼。這使得網(wǎng)絡(luò)攻擊者可以輕松地將該工具包集成到現(xiàn)有的HTML模板中，或者構(gòu)建一個(gè)簡單的表單，偽造企業(yè)的登錄頁面。

該工具包的另一個(gè)特點(diǎn)在于，它能夠從包括合法的對象存儲器在內(nèi)的受信任的來源加載資源。這里還使用了一個(gè)新的技巧，鏈接通過把用戶引導(dǎo)到一個(gè)已知的域名，使偽造的釣魚登錄頁面看起來更加真實(shí)。

例如，在使用LogoKit進(jìn)行攻擊的時(shí)候，在某些情況下，發(fā)現(xiàn)攻擊者會將他們的釣魚頁面托管在Google Firebase上。谷歌Firebase是一個(gè)移動(dòng)和網(wǎng)絡(luò)應(yīng)用開發(fā)平臺，由谷歌云存儲提供支持，它為Firebase應(yīng)用提供安全的文件上傳和下載服務(wù)。

工具運(yùn)作方式

雖然已經(jīng)發(fā)現(xiàn)LogoKit會使用這些合法的托管服務(wù)，但研究人員也發(fā)現(xiàn)在許多被入侵的運(yùn)行WordPress的網(wǎng)站中，也會托管LogoKit工具。在這兩種情況下，網(wǎng)絡(luò)犯罪分子都會向受害者發(fā)送一個(gè)含有電子郵件地址的特定的URL。這種URL例如：

"phishingpage. site/login.html#victim@company.com."

研究人員稱："分隔符是'@'符號，它允許用戶使用腳本提取用戶/公司的域名來獲取標(biāo)識，并最終將受害者的網(wǎng)絡(luò)請求進(jìn)行重定向。"

如果受害者點(diǎn)擊URL，LogoKit就會從第三方服務(wù)中獲取公司的標(biāo)志，比如常見的營銷數(shù)據(jù)引擎Clearbit或谷歌的favicons(與特定網(wǎng)頁相關(guān)的圖形圖標(biāo))數(shù)據(jù)庫。

受害者的電子郵件也會被自動(dòng)填入到登錄表單的電子郵件或用戶名輸入欄中。研究人員指出，這一攻擊技巧會使受害者誤認(rèn)為他們之前已經(jīng)登錄過該網(wǎng)站。

如果受害者輸入密碼，LogoKit會執(zhí)行AJAX請求，將目標(biāo)的電子郵件和密碼發(fā)送到外部數(shù)據(jù)源中。

在某些情況下，犯罪分子會使用一些通用的欺騙手段，比如網(wǎng)站會進(jìn)行身份驗(yàn)證，確保輸入的數(shù)據(jù)和電子郵件地址是有效的，工具包會 "欺騙用戶"，稱他們的密碼是錯(cuò)誤的，并且提示他們再次輸入密碼。最后，受害者在輸入密碼后會被重定向到其公司網(wǎng)站。

研究人員表示，現(xiàn)在很多行業(yè)已經(jīng)成為攻擊者使用LogoKit進(jìn)行攻擊的目標(biāo)，包括金融、法律和娛樂行業(yè)。

Castleman說："LogoKit為攻擊者提供了一個(gè)很好的攻擊工具，這使得網(wǎng)絡(luò)攻擊者可以輕松將該工具包集成到現(xiàn)有的HTML模板中，或者只需構(gòu)建一個(gè)簡單的表單，就可以偽造企業(yè)的登錄頁面。"

本文翻譯自：https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如若轉(zhuǎn)載，請注明原文地址。