Gli aggressori stanno sfruttando un noto difetto di reindirizzamento aperto per effettuare il phishing delle credenziali e delle informazioni di identificazione personale (PII) delle persone utilizzando i domini American Express e Snapchat, hanno scoperto i ricercatori.

Attori della minaccia impersonificati Microsoft e FedEx, tra gli altri marchi, in due diverse campagne, che i ricercatori di INKY hanno osservato da metà maggio a fine luglio, hanno detto in un post sul blog pubblicato on-line. Gli aggressori hanno approfittato delle vulnerabilità di reindirizzamento che colpiscono i domini American Express e Snapchat, il primo dei quali alla fine è stato corretto mentre il secondo non lo è ancora, hanno detto i ricercatori. Apri reindirizzamento è una vulnerabilità di sicurezza che si verifica quando un sito Web non riesce a convalidare l'input dell'utente, consentendo ai malintenzionati di manipolare gli URL di domini di entità legittime con una buona reputazione per reindirizzare le vittime verso siti dannosi, hanno affermato i ricercatori. La vulnerabilità è ben nota e monitorata come CWE-601: Reindirizzamento URL a sito non attendibile ("Reindirizzamento aperto").

"Poiché il primo nome di dominio nel collegamento manipolato è in realtà quello del sito originale, il collegamento potrebbe apparire sicuro all'osservatore casuale", ha spiegato Roger Kay di INKY nel post.

Un esempio del dominio di reindirizzamento dannoso è: http[://]safe[.]com/redirect?[url=http:]//malicious[.]com. Il dominio attendibile, quindi, in questo caso American Express o Snapchat, viene utilizzato come pagina di destinazione temporanea prima che la vittima della campagna venga reindirizzata a un sito dannoso.

Durante il periodo di due mesi e mezzo in cui sono state osservate le campagne, i ricercatori hanno rilevato la vulnerabilità di reindirizzamento aperto di snapchat[.]com in 6,812 e-mail di phishing provenienti da vari account violati. Nel frattempo, in soli due giorni a fine luglio, hanno osservato la vulnerabilità di reindirizzamento aperto americanexpress[.]com in 2,029 e-mail di phishing provenienti da domini appena creati.

Somiglianze negli attacchi

Entrambe le campagne sono iniziate con email di phishing utilizzando le tipiche tattiche di ingegneria sociale per cercare di indurre gli utenti a fare clic su collegamenti o allegati dannosi, hanno affermato i ricercatori.

Inoltre, entrambe le campagne hanno utilizzato exploit in cui gli aggressori hanno inserito informazioni personali nell'URL apparentemente legittimo in modo che le pagine di destinazione dannose potessero essere personalizzate al volo per le singole vittime, hanno affermato.

“Questo inserimento è stato mascherato convertendolo in Base 64 per farlo sembrare un gruppo di personaggi casuali", ha scritto Kay. "Abbiamo inserito i nostri caratteri casuali in queste stringhe in modo che l'osservatore casuale non fosse in grado di decodificare le stringhe PII."

Quando venivano reindirizzate a un altro sito, le vittime pensavano che il collegamento fosse diretto a un posto sicuro; tuttavia, a loro insaputa, i domini a cui venivano reindirizzati erano siti dannosi per raccogliere le loro credenziali o esporli a malware, hanno detto i ricercatori.

Caratteristiche specifiche della campagna

Sebbene ci fossero somiglianze tra le due campagne, c’erano anche tattiche specifiche per ciascuna, hanno detto i ricercatori.

Le e-mail di phishing nel gruppo di reindirizzamento aperto di Snapchat impersonificavano DocuSign, FedEx e Microsoft, e tutte avevano reindirizzamenti aperti di Snapchat che portavano a siti di raccolta di credenziali di Microsoft, hanno detto i ricercatori.

La vulnerabilità di reindirizzamento aperto sul dominio Snapchat non era stata risolta al momento della campagna e rimane tale, sebbene Open Bug Bounty segnalati alla società il 4 agosto 2021, ha osservato Kay.

Anche il bug di reindirizzamento aperto sul dominio American Express sembrava inizialmente non risolto, ha detto. Quando è iniziata la campagna di phishing che lo utilizzava, il collegamento di reindirizzamento aperto andava ai siti di raccolta delle credenziali di Microsoft, hanno osservato i ricercatori. Tuttavia, subito dopo, American Express ha risolto la vulnerabilità, ha detto Kay.

"Ora, gli utenti che fanno clic sul collegamento finiscono su una vera pagina di errore di American Express", ha scritto.

Mitigazione e prevenzione semplici

Oltre a correggere i difetti di reindirizzamento aperto sui loro domini, i proprietari di siti Web in genere non prestano a queste vulnerabilità l’attenzione che meritano, probabilmente “perché non consentono agli aggressori di danneggiare o rubare dati dal sito”, ha osservato Kay.

"Dal punto di vista del gestore del sito web, l'unico danno che potrebbe verificarsi è un danno alla reputazione del sito", ha scritto.

Se i proprietari di domini desiderano mitigare ulteriormente gli attacchi utilizzando il reindirizzamento aperto, possono adottare alcuni semplici passaggi, ha osservato Kay. Una è abbastanza ovvia: evitare del tutto l'implementazione del reindirizzamento nell'architettura del sito, ha affermato. Tuttavia, se necessario per motivi commerciali, i proprietari di domini possono implementare una lista consentita di collegamenti sicuri approvati per mitigare gli abusi di reindirizzamento aperto.

I proprietari di domini possono anche presentare agli utenti un disclaimer di reindirizzamento esterno che richiede i clic dell'utente prima del reindirizzamento a siti esterni, ha aggiunto Kay.

Poiché sono le vittime di queste campagne i veri perdenti – con il potenziale di essere private di credenziali, dati e forse anche denaro – anche loro dovrebbero adottare alcune misure per proteggersi, ha affermato.

Quando esaminano i collegamenti mentre navigano nei siti online, le persone dovrebbero tenere d'occhio gli URL che includono, ad esempio, "url=", "redirect=", "link esterno" o "proxy". Queste stringhe potrebbero indicare che un dominio attendibile potrebbe reindirizzare a un altro sito, ha osservato Kay.

I destinatari delle e-mail con collegamenti dovrebbero anche verificare la presenza di più occorrenze di "http" nell'URL, un altro potenziale indicatore di reindirizzamento, ha affermato.