Primijećena je sofisticirana Facebook phishing kampanja koja iskorištava Zero-Day u uslugama e-pošte Salesforce, omogućavajući hakerima da kreiraju ciljane phishing poruke koristeći domen i infrastrukturu kompanije.
“Te phishing kampanje pametno izbjegavaju konvencionalne metode otkrivanja povezujući Salesforce ranjivost i naslijeđene hirovite u Facebook-ovu platformu Web Games”, rekli su istraživači Guardio Labs Oleg Zaytsev i Nati Tal u izvještaju podijeljenom za The Hacker News.
E-mail poruke se maskiraju kao da dolaze od Meta, dok se šalju sa adrese e-pošte sa domenom “@salesforce.com”. Oni nastoje da prevare primaoce da kliknu na link tvrdeći da se njihovi Facebook nalozi podvrgavaju “sveobuhvatnoj istrazi” zbog “sumnjičavosti da su se lažno predstavljale”.
Cilj je usmjeriti korisnike na lažnu odredišnu stranicu koja je dizajnirana da uhvati akreditive naloga žrtve i kodove za autentifikaciju u dva faktora (2FA). Ono što napad čini značajnim je to što se phishing komplet hostuje kao igra na platformi Facebook aplikacija koristeći domen apps.facebook[.]com.
“Tako da je sasvim jasno zašto smo vidjeli ovu e-poštu kako prolazi kroz tradicionalne mehanizme protiv neželjene pošte i krađe identiteta. Sadrži legitimne linkove (na facebook.com) i šalje se sa legitimne adrese e-pošte @salesforce.com, jedan od vodećih svjetskih CRM provajdera“, objasnili su istraživači.
Vrijedi naglasiti da je Meta ukinula funkciju Web igara u julu 2020. godine, iako je moguće zadržati podršku za naslijeđene igre koje su razvijene prije njegove ukidanja.
Dok slanje e-pošte korištenjem salesforce.com podrazumijeva korak provjere, Guardio Labs kaže da shema pametno zaobilazi ove zaštitne mjere tako što konfigurira dolaznu adresu e- pošte za usmjeravanje e-pošte koja koristi domenu salesforce.com i postavlja je kao adresa e-pošte za cijelu organizaciju. “Ovo pokreće tok verifikacije koji šalje e-poštu na ovu adresu za usmjeravanje, završavajući kao novi zadatak u našem sistemu”, rekli su istraživači, dodajući da to vodi do scenarija u kojem se adresa e-pošte salesforce.com može provjeriti jednostavnim klikom na link koji prati zahtjev za dodavanje adrese koju kontrolira haker.
“Odavde samo nastavljate i kreirate bilo koju vrstu phishing šeme, čak i ciljajući Salesforce kupce direktno sa ovakvim vrstama e-pošte. I gore navedeno će završiti u sandučetu žrtve, zaobilazeći mehanizme protiv neželjene pošte i krađe identiteta, pa čak i označeno kao Važno od Googlea.”
Nakon odgovornog otkrivanja podataka 28. juna 2023. godine, Salesforce se pozabavio Zero-Day od 28. jula 2023. godini novim provjerama koje sprječavaju korištenje adresa e-pošte sa domena @salesforce.com.
Razvoj dolazi kada je Cofense upozorio na povećanu phishing aktivnost koja koristi URL-ove Google Accelerated Mobile Pages (AMP) kako bi zaobišla sigurnosne provjere i izvršila krađu akreditiva.
“Prevalencija phishing napada i prevara i dalje je visoka, a loši hakeri kontinuirano testiraju granice infrastrukture za distribuciju e-pošte i postojeće sigurnosne mjere”, rekli su istraživači.
“Zabrinjavajući aspekt ove tekuće bitke je iskorištavanje naizgled legitimnih usluga, kao što su CRM-ovi, marketinške platforme i radni prostori zasnovani na oblaku, za obavljanje malicioznih aktivnosti.”
Izvor: The Hacker News