LogoKit vereinfacht Office 365, SharePoint ‘Login’ Phishing-Seiten

  • Ein Phishing-Kit wurde auf mindestens 700 Domains gefunden – und imitiert Dienste über falsche SharePoint-, OneDrive- und Office 365-Login-Portale.

    Ein neu entdecktes Phishing-Kit, genannt LogoKit, bereitet Cyberkriminellen Kopfzerbrechen, indem es automatisch die Firmenlogos der Opfer auf die Phishing-Anmeldeseite zieht. Dies gibt den Angreifern die Werkzeuge, die sie benötigen, um auf einfache Weise Anmeldeseiten von Unternehmen zu imitieren, eine Aufgabe, die manchmal sehr komplex sein kann.

    Cyberkriminelle haben sich auf LogoKit verlassen, um in den letzten 30 Tagen Phishing-Angriffe auf mehr als 700 einzelnen Domains zu starten (davon 300 in der letzten Woche). Diese gezielten Dienste reichen von generischen Anmeldeportalen bis hin zu gefälschten SharePoint-, Adobe Document Cloud-, OneDrive-, Office 365- und Kryptowährungsaustausch-Anmeldeportalen.

    “Mit der beabsichtigten Funktionalität von LogoKit, die sich auf einzelne E-Mails pro URL und das Extrahieren von Firmenlogos konzentriert, erleichtert dies die Durchführung gezielter Angriffe gegen Organisationen dramatisch; und die Wiederverwendung von Vorwänden ohne Änderung der Vorlagen”, sagte Adam Castleman, Sicherheitsforscher bei RiskIQ am Mittwoch.

    Phishing-Kits

    Phishing-Kits, die von Cyberkriminellen für Beträge zwischen 20 und 880 US-Dollar erworben werden können, erfordern nur geringe technische Kenntnisse, die über bescheidene Programmierkenntnisse hinausgehen. Diese Kits werden verwendet, um verschiedene Daten von Opfern zu stehlen – darunter Benutzernamen, Kennwörter, Kreditkartennummern, Sozialversicherungsnummern und mehr.

    Um ein Kit zu betreiben, muss ein Cyberkrimineller es zunächst auf einem Remote-Server installieren – entweder durch die Kompromittierung eines legitimen Content-Management-Systems oder durch die Nutzung seiner eigenen Infrastruktur. Nach der Installation reicht es aus, wenn der Angreifer seine Opfer per E-Mail, SMS oder Social Media-Nachrichten mit der URL anspricht, die sie zur Landing Page des Phishing-Kits führt. Einige Phishing-Kits enthalten Administrator-Dashboards, über die Cyberkriminelle die Anzahl der Besuche auf ihrer bösartigen Website verfolgen und die offengelegten sensiblen Daten einsehen können.

    Phishing-Kits sind nichts Neues – LogoKit macht jedoch die Bereitstellung von Phishing-Anmeldeseiten für Cyberkriminelle noch einfacher. Oftmals arbeiten Cyberkriminelle, die Phishing-Kits auf kompromittierten, legitimen Content-Management-Systemen einsetzen, mit komplexen Website-Layouts und mehreren Dateien. Dies kann zu Fehlern auf der Anmeldeseite führen, die für die Opfer als potenzielle Warnsignale dienen.

    LogoKit überspringt dieses Problem mit seiner Einfachheit, so die Forscher, da es nur ein paar Zeilen anpassbares JavaScript ausführt. Dadurch können Angreifer das Kit leicht in bestehende HTML-Vorlagen integrieren oder einfache Anmeldeformulare erstellen, um Anmeldeportale von Unternehmen zu imitieren.

    Das Kit zeichnet sich auch dadurch aus, dass es in der Lage ist, Ressourcen aus vertrauenswürdigen Quellen zu laden, einschließlich legitimer Objektspeicher-Buckets. Dies ist ein weiterer Trick, der nicht unbedingt brandneu ist – der aber gefälschte Anmeldeseiten weniger bösartig erscheinen lässt, indem er die Benutzer zu einem bekannten Domainnamen navigieren lässt.

    In einigen Fällen wurden beispielsweise Angreifer dabei beobachtet, wie sie ihre Phishing-Seiten als Teil des LogoKit-Angriffs auf Google Firebase gehostet haben. Google Firebase ist eine Plattform für die Entwicklung von Mobil- und Webanwendungen, die von Google Cloud Storage unterstützt wird und sichere Datei-Uploads und -Downloads für Firebase-Apps bietet.

    Wie es funktioniert

    Während LogoKit diese legitimen Hosting-Dienste nutzt, haben Forscher auch beobachtet, dass kompromittierte Websites – viele mit WordPress – LogoKit-Varianten hosten. In beiden Fällen senden die Cyberkriminellen den Opfern eine speziell gestaltete URL, die ihre E-Mail-Adresse enthält. Ein Beispiel für eine präparierte URL, die die E-Mail enthält, wäre: “phishingpage[.]site/login.html#victim@company.com.”

    “Der Standort-Hash wird dann in Slices aufgeteilt”, so die Forscher. “Das Trennzeichen des Slices ist das ‘@’-Symbol, das es dem Skript ermöglicht, die Domäne des Benutzers/Firma zu extrahieren, um das Logo zu holen und schließlich ein Opfer umzuleiten.

    Wenn das Opfer auf die URL klickt, holt LogoKit das Firmenlogo von einem Drittanbieterdienst, z. B. von der Marketingdaten-Engine Clearbit oder der Google-Datenbank für Favicons (die grafischen Symbole, die mit bestimmten Webseiten verknüpft sind).

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/01/28102827/LogoKit_Simple_Effective_and_Deceptive_image_1-300x225.png]

    Eine Phishing-Seite mit LogoKit. Kredit: RiskIQ

    Die E-Mail des Opfers wird auch automatisch in das E-Mail- oder Benutzernamen-Eingabefeld der Anmeldegrafik eingefügt. Die Forscher stellten fest, dass dieser Trick die Opfer glauben lässt, dass sie sich zuvor auf der Website angemeldet haben.

    Wenn ein Opfer sein Passwort eingibt, führt LogoKit eine AJAX-Anfrage aus und sendet die E-Mail und das Passwort des Opfers an eine externe Quelle.

    In einigen Fällen führt das Kit nach der Validierung der Daten und der Eingabe einer gültigen E-Mail-Adresse einen zusätzlichen Trick aus, indem es dem Benutzer mitteilt, dass sein Kennwort falsch ist, und ihn auffordert, das Kennwort erneut einzugeben. Als letzter Schritt wird das Opfer nach der Eingabe des Passworts auf die Website des Unternehmens umgeleitet.

    Mehrere Branchen wurden von Angreifern mit LogoKit ins Visier genommen, darunter die Finanz-, Rechts- und Unterhaltungsbranche, so die Forscher.

    “Das LogoKit stellt eine einzigartige Möglichkeit für Angreifer dar, da es sich entweder in bestehende HTML-Vorlagen integrieren oder einfache Anmeldeformulare erstellen lässt, um Anmeldeportale von Unternehmen zu imitieren”, so Castleman. “Außerdem können Angreifer dank der Flexibilität, entweder eine kompromittierte Infrastruktur, eine vom Angreifer gehostete Infrastruktur oder einen Objektspeicher zu nutzen, schnell ihre Übertragungsquelle wechseln.”

    Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook Healthcare Security Woes Balloon in a Covid-Era World , sponsored by ZeroNorth, herunter, um mehr darüber zu erfahren, was diese Sicherheitsrisiken für Krankenhäuser im Alltag bedeuten und wie Sicherheitsteams im Gesundheitswesen Best Practices umsetzen können, um Anbieter und Patienten zu schützen. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com