Abuso de redireccionamiento de LinkedIn

10 de junio de 2024

Introducción

Los actores de amenazas continúan abusando de una redirección que puede generarse a través de LinkedIn, animando a las víctimas potenciales a hacer clic en una página web maliciosa diseñada para robar credenciales.

Los redireccionamientos se generan a partir de páginas públicas en LinkedIn para perfiles personales o de empresa. Estos perfiles incluirán una sección con un enlace a un sitio externo que puede recuperarse como una URL de redirección generada por LinkedIn. Esta técnica puede ayudar a los actores de amenazas a eludir las medidas de seguridad diseñadas para proteger contra URL maliciosas y hacer que un correo electrónico llegue a la bandeja de entrada de víctimas desprevenidas.

Campañas

Se han observado dos campañas importantes a lo largo de dos días en marzo y abril de 2024, utilizando un tema similar de notificar al destinatario que ha recibido una nueva revisión de mensaje de audio, con un enlace para hacer clic y escuchar.

Asunto:1Mensaje recibido del remitente

Asunto:INTEL NEW

Al analizar los encabezados del correo electrónico, podemos ver que se envió desde una cuenta de Amazon SES probablemente comprometida por el actor de la amenaza. La ventaja para el actor de la amenaza de comprometer una cuenta SES es que puede enviar correos electrónicos maliciosos desde una fuente de confianza en la que es muy probable que pase la seguridad habitual, incluyendo SPF, DKIM y DMARC.

Redireccionamiento

A continuación se muestra un ejemplo de redireccionamiento de URL de LinkedIn tomado de la segunda campaña.

hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Este redireccionamiento de LinkedIn no es un redireccionamiento abierto, lo que significa que no se puede abusar de él simplemente reemplazando la sección de la consulta de URL que contiene el destino del redireccionamiento. Esto implica que el actor de la amenaza tuvo que generar la URL desde LinkedIn. Es probable que el actor de la amenaza haya generado este redireccionamiento creando un perfil público a través de LinkedIn y añadiéndole secciones que contienen un enlace a un recurso externo. A continuación, el actor de la amenaza puede copiar el redireccionamiento generado por LinkedIn y pegarlo en una campaña de correo electrónico.

Cadena de redireccionamiento
Si observamos uno de los enlaces de redireccionamiento de LinkedIn de una de las campañas anteriores...

Formato de URL:
hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Página de destino
hxxps://lookerstudio.google[.]com/reporting/ce8908e1-d4e1-46d1-9087-7b8dc3e8dd6f/page/67CrD?s=scrHqwjeA3k

Captcha

El actor de la amenaza ha incluido un captcha de Cloudflare a través de una de las URL de redireccionamiento para dificultar que las herramientas de seguridad escaneen el enlace y determinen si la URL final a la que resuelve es maliciosa.

hxxps://okc.palledon[.]com/?unkbjkwn=0aae36c6e061aa3f26cbcc34c062b75b18a753529a21b5df81391f2085dc3140ab0c7064a0c6b7ff5bf35f00be826d862bbb107de90164655f78f7ddf91fc468

Página de captura de credenciales

Página final de phishing que suplanta a Microsoft online para capturar y robar las credenciales de los usuarios.

hxxps://index.keltinag[.]com/?ay14c1s87=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

La decodificación de la cadena de consulta base64 al final de la URL de la página de captura de credenciales da como resultado:
hxxps://login.microsoftonline[.]com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000&redirect_uri=hxxps://outlook.office[.]com/owa/&resource=00000002-0000-0ff1-ce00-000000000000&response_mode=form_post&response_type=code id_token&scope=openid&msafed=1&msaredir=1&client-request-id=c1ce9da1-6c59-d48f-b4cf-f6bf36d81ae6&protectedtoken=true&claims={"id_token":{"xms_cc":{"values":["CP1"]}}}&nonce=638519004680601011.5f70bd1f-9ad9-4793-bfbe-91b750cae2d6&state=DctBFoAgCABRrNdxSMgEOY6kblt2_Vj82U0CgD1sIVEEVEqrbES3NBJiYj7rUvLBC60Pw1utoC-faOxa6enzGpLiPfL79fwD

Esta es una técnica común utilizada por los actores de amenazas para las páginas de phishing de credenciales. La víctima introducirá sus credenciales y luego se le mostrará un mensaje falso de error de inicio de sesión. A continuación, será redirigida a la página de inicio de sesión legítima. La víctima pensará que acaba de introducir sus credenciales incorrectamente la primera vez e intentará de nuevo en la página de inicio de sesión legítima.

Patrón de ataque

Dada la complejidad de la infraestructura utilizada para robar credenciales, es probable que el actor de la amenaza haya utilizado un kit de phishing o phishing como herramienta de servicio (PhaaS) bien conocido que habrá proporcionado una infraestructura lista para usar mantenida por el propietario del servicio.

A continuación, se presenta un resumen del patrón de ataque utilizado en estas campañas:

• Infraestructura establecida
• Varios dominios registrados para alojar algunas de las etapas de la cadena de redireccionamiento, incluidas la página Captcha de Cloudflare y la página final de phishing de credenciales
• Abuso de servicios web
• Google Looker Studio para alojar la página de destino inicial
• Captcha de Cloudflare para evadir los escáneres de URL
• Se ha abusado de la herramienta de redes sociales
• Se ha creado una página pública de LinkedIn. Probablemente un perfil de empresa con un enlace externo a la página de destino inicial en Looker Studio
• Cuentas de correo electrónico comprometidas
• Cuentas de Amazon SES comprometidas para distribuir correos electrónicos maliciosos que contienen un redireccionamiento de LinkedIn

Tácticas, técnicas y procedimientos

• T1586.002: Cuentas comprometidas: Cuentas de correo electrónico
• El actor de amenazas comprometió las cuentas de Amazon SES para distribuir correos electrónicos maliciosos
• T1583 - Adquirir Infraestructura
• Dominios registrados para alojar Cloudflare Captcha y una página de phishing de credenciales (probablemente a través de un kit de phishing o una herramienta PhaaS)
• T1583.006 - Adquirir Infraestructura: Servicios Web
• El autor de la amenaza utilizó Google Looker Studio para crear una página de destino para la redirección de LinkedIn
• Redirección generada a través de LinkedIn
• T1566.002 - Phishing: Enlace de Spearphishing
• Correos electrónicos distribuidos con un redireccionamiento malicioso de LinkedIn