Μια hacking ομάδα έχει αναπτύξει ένα νέο phishing toolkit, το οποίο αλλάζει το λογότυπο και το κείμενο σε μια phishing σελίδα, προκειμένου να το προσαρμόζει στα διαφορετικά θύματα. Αυτό, όμως, που είναι πιο εντυπωσιακό, είναι ότι οι αλλαγές γίνονται σε πραγματικό χρόνο.
Το phishing toolkit ονομάζεται LogoKit και, σύμφωνα με την εταιρεία RiskIQ, χρησιμοποιείται ήδη από εγκληματίες του κυβερνοχώρου. Οι ερευνητές της RiskIQ παρακολουθούν την εξέλιξή του.
Η εταιρεία έχει ήδη εντοπίσει εγκαταστάσεις του LogoKit σε περισσότερα από 300 domains κατά την τελευταία εβδομάδα και σε περισσότερα από 700 sites τον τελευταίο μήνα.
Σύμφωνα με τις παρατηρήσεις των ερευνητών, το LogoKit βασίζεται στην αποστολή phishing συνδέσμων στους χρήστες, οι οποίοι σύνδεσμοι περιέχουν τις διευθύνσεις email τους.
“Μόλις ένα θύμα πλοηγηθεί στη διεύθυνση URL, το LogoKit παίρνει το λογότυπο της εταιρείας από μια third-party υπηρεσία, όπως η Clearbit ή το favicon database της Google“, δήλωσε ο ερευνητής ασφαλείας του RiskIQ, Adam Castleman, σε μια έκθεση.
“Το email του θύματος συμπληρώνεται, επίσης, αυτόματα στο πεδίο του email ή του ονόματος χρήστη, εξαπατώντας τα θύματα και κάνοντάς τα να πιστεύουν ότι έχουν συνδεθεί ξανά στο site αυτό“, πρόσθεσε.
“Εάν το θύμα εισάγει τον κωδικό πρόσβασής του, το LogoKit phishing toolkit εκτελεί AJAX request, στέλνοντας το email και τον κωδικό πρόσβασης του στόχου σε μια εξωτερική πηγή και, στο τέλος, ανακατευθύνει τον χρήστη στον [νόμιμο] εταιρικό ιστότοπό του“.
Ο ερευνητής ασφαλείας είπε ότι η παραπάνω διαδικασία είναι εφικτή με την απλή ενσωμάτωση ενός συνόλου λειτουργιών JavaScript “που μπορούν να προστεθούν σε οποιαδήποτε γενική φόρμα σύνδεσης ή σύνθετα έγγραφα HTML“.
Είναι αρκετά διαφορετικό από άλλα phishing kits, που χρειάζονται pixel-perfect templates για να μιμηθούν τις σελίδες ελέγχου ταυτότητας μιας εταιρείας.
Ουσιαστικά αυτό το νέο phishing toolkit είναι πολύ επικίνδυνο γιατί επιτρέπει στους χειριστές του να στοχεύσουν οποιαδήποτε εταιρεία θέλουν, με πολύ λίγη δουλειά για το customization. Αυτές οι γρήγορες αλλαγές, ανάλογα με το θύμα, επιτρέπουν στους χειριστές να πραγματοποιούν δεκάδες ή και εκατοντάδες επιθέσεις σε μια μόνο εβδομάδα.
Η RiskIQ είπε ότι τον τελευταίο μήνα, το LogoKit phishing toolkit έχει μιμηθεί και δημιουργήσει σελίδες σύνδεσης για διάφορες γνωστές υπηρεσίες (SharePoint, Adobe Document Cloud, OneDrive, Office 365 και πολλές υπηρεσίες cryptocurrency exchange).
Επιπλέον, σύμφωνα με τους ερευνητές, το LogoKit είναι τόσο μικρό, που δεν χρειάζεται πάντα το δικό του σύνθετο server setup, όπως άλλα phishing kits. Το kit μπορεί να φιλοξενείται σε παραβιασμένα sites ή σε νόμιμες σελίδες εταιρειών που θέλουν να στοχεύσουν οι χειριστές του LogoKit.
Επίσης, δεδομένου ότι το LogoKit είναι μια συλλογή JavaScript files, τα resources του μπορούν επίσης να φιλοξενηθούν σε δημόσιες αξιόπιστες υπηρεσίες όπως το Firebase, το GitHub, το Oracle Cloud και άλλα. Η RiskIQ είπε ότι παρακολουθεί στενά αυτήν τη νέα απειλή και υποστηρίζει ότι η απλότητα αυτού του phishing toolkit βοηθά πολύ στην αποτελεσματικότητά του.
Πηγή: ZDNet