Abus de redirection LinkedIn

10 juin 2024

Introduction

Les acteurs de la menace continuent d'abuser d'une redirection qui peut être générée par LinkedIn, encourageant les victimes potentielles à cliquer sur une page web malveillante conçue pour voler des informations d'identification.

Les redirections sont générées à partir de pages publiques sur LinkedIn pour des profils personnels ou d'entreprise. Ces profils comprendront une section avec un lien vers un site externe qui peut être récupéré comme une URL de redirection générée par LinkedIn. Cette technique peut aider les acteurs de la menace à contourner les mesures de sécurité conçues pour protéger contre les URL malveillantes et à envoyer un courriel dans la boîte de réception de victimes qui ne se doutent de rien.

Campagnes

Deux campagnes majeures ont été observées sur deux jours en mars et avril 2024, utilisant un thème similaire pour notifier au destinataire qu'il a reçu une nouvelle revue de messages audio, avec un lien à cliquer pour l'écouter.

Objet:1Message reçu de l'appelant

Objet:INTEL NEW

En analysant les en-têtes de l'email, nous pouvons voir qu'il a été envoyé à partir d'un compte Amazon SES probablement compromis par l'acteur de la menace. L'avantage pour l'auteur de la menace de compromettre un compte SES est qu'il peut ensuite envoyer des e-mails malveillants depuis une source fiable où les mesures de sécurité habituelles, notamment SPF, DKIM et DMARC, seront probablement transmises.

Rediriger

Vous trouverez ci-dessous un exemple de redirection d'URL LinkedIn tiré de la deuxième campagne.

hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Cette redirection LinkedIn n'est pas une redirection ouverte, ce qui signifie qu'elle ne peut pas être utilisée de manière abusive en remplaçant simplement la section de la requête URL contenant la destination de la redirection. Cela implique que l’acteur de la menace a dû générer l’URL à partir de LinkedIn. L'auteur de la menace a probablement généré cette redirection en créant un profil public sur LinkedIn, puis en y ajoutant des sections contenant un lien vers une ressource externe. Un acteur de la menace peut alors copier la redirection générée par LinkedIn et la coller dans une campagne d'emailing.

Chaîne de redirection
Examinez l'un des liens de redirection LinkedIn de l'une des campagnes ci-dessus...

Format de l'URL :
hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Page d'atterrissage
hxxps://lookerstudio.google[.]com/reporting/ce8908e1-d4e1-46d1-9087-7b8dc3e8dd6f/page/67CrD?s=scrHqwjeA3k

Captcha

L'auteur de la menace a inclus un captcha Cloudflare dans l'une des URL de redirection afin d'empêcher les outils de sécurité d'analyser le lien et de déterminer si l'URL finale est malveillante.

hxxps://okc.palledon[.]com/?unkbjkwn=0aae36c6e061aa3f26cbcc34c062b75b18a753529a21b5df81391f2085dc3140ab0c7064a0c6b7ff5bf35f00be826d862bbb107de901 64655f78f7ddf91fc468

Page de capture des informations d'identification

Dernière page de phishing usurpant l’identité de Microsoft en ligne pour capturer et voler les informations d’identification de l’utilisateur.

hxxps://index.keltinag[.] Com/? ay14c1s87=aHR0cHM6Ly9sb2dpbi5taWNyb3NvZnRvbmxpbmUuY29tL2NvbW1vbi9vYXV0aDIvYXV0aG9yaXplP2NsaWVudF9pZD0wMDAwMDAwMi0wMDAwLTBmZjEtY2UwMC0wMDAwMDAwMDAwMDAmcmVkaXJlY3RfdXJpPWh0dHBzJTNhJTJmJTJmb3V0bG9vay5vZmZpY2UuY29tJTJmb3dhJTJmJnJlc291cmNlPTAwMDAwMDAyLTAwMDAtMGZmMS1jZTAwLTAwMDAwMDAwMDAwMCZyZXNwb25zZV9tb2RlPWZvcm1fcG9zdCZyZXNwb25zZV90eXBlPWNvZGUraWRfdG9rZW4mc2NvcGU9b3BlbmlkJm1zYWZlZD0xJm1zYXJlZGlyPTEmY2xpZW50LXJlcXVlc3QtaWQ9YzFjZTlkYTEtNmM1OS1kNDhmLWI0Y2YtZjZiZjM2ZDgxYWU2JnByb3RlY3RlZHRva2VuPXRydWUmY2xhaW1zPSU3YiUyMmlkX3Rva2VuJTIyJTNhJTdiJTIyeG1zX2NjJTIyJTNhJTdiJTIydmFsdWVzJTIyJTNhJTViJTIyQ1AxJTIyJTVkJTdkJTdkJTdkJm5vbmNlPTYzODUxOTAwNDY4MDYwMTAxMS41ZjcwYmQxZi05YWQ5LTQ3OTMtYmZiZS05MWI3NTBjYWUyZDYmc3RhdGU9RGN0QkZvQWdDQUJSck5keFNNZ0VPWTZrYmx0Ml9WajgyVTBDZ0Qxc0lWRUVWRXFyYkVTM05CSmlZajdyVXZMQkM2MFB3MXV0b0MtZmFPeGE2ZW56R3BMaVBmTDc5ZndE

Le décodage de la chaîne de requête base64 à la fin de l'URL de la page de capture des informations d'identification est le suivant :
hxxps://login.microsoftonline[.]com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000&redirect_uri=hxxps://outlook.office[.]com/owa/&resource=00000002-0000-0ff1-ce00-000000000000&response_mode=form_post&response_type=code id_token&scope=openid&msafed=1&msaredir=1&client-request-id=c1ce9da1-6c59-d48f-b4cf-f6bf36d81ae6&protectedtoken=true&claims={"id_token":{"xms_cc":{"values":["CP1"]}}}&nonce=638519004680601011.5f70bd1f-9ad9-4793-bfbe-91b750cae2d6&state=DctBFoAgCABRrNdxSMgEOY6kblt2_Vj82U0CgD1sIVEEVEqrbES3NBJiYj7rUvLBC60Pw1utoC-faOxa6enzGpLiPfL79fwD

Il s’agit d’une technique courante utilisée par les acteurs malveillants pour les pages de phishing d’informations d’identification. La victime saisira ses informations d'identification puis un faux message d'échec de connexion s'affichera. Ils seront ensuite redirigés vers la page de connexion légitime. La victime pensera qu'elle a mal saisi ses informations d'identification la première fois et réessaiera sur la page de connexion légitime.

Modèle d’attaque

Étant donné la complexité de l’infrastructure utilisée pour voler les informations d’identification, il est probable que l’acteur de la menace ait utilisé un phishkit bien connu ou un outil de phishing en tant que service (PhaaS) qui aura fourni une infrastructure prête à l’emploi maintenue par le propriétaire du service.

Voici un résumé du schéma d'attaque utilisé pour ces campagnes :

• Infrastructure établie
• Plusieurs domaines enregistrés pour héberger certaines étapes de la chaîne de redirection, y compris la page Captcha de Cloudflare et la page finale de phishing des informations d'identification.
• Utilisation abusive des services Web
• Google Looker Studio hébergera la page d'accueil initiale
• Captcha de Cloudflare pour éviter les scanners d'URL
• Outil de médias sociaux abusé
• Une page LinkedIn destinée au public a été créée. Probablement un profil d'entreprise avec un lien externe vers la page d'atterrissage initiale dans Looker Studio
• Comptes de messagerie compromis
• Des comptes Amazon SES compromis pour distribuer des e-mails malveillants contenant une redirection LinkedIn depuis

Tactiques, techniques et procédures

• T1586.002 - Comptes de compromission Comptes de messagerie
• Un acteur malveillant a compromis des comptes Amazon SES pour distribuer des e-mails malveillants
• T1583 - Acquérir des infrastructures
• Domaines enregistrés pour héberger Cloudflare Captcha et page de phishing d’identification (probablement via un outil de phishing ou PhaaS)
• T1583.006 - Acquérir une infrastructure : services Web
• L'acteur de la menace a utilisé Google Looker Studio pour créer une page de destination pour la redirection vers LinkedIn
• Redirection générée via LinkedIn
• T1566.002 - Phishing : lien de Phishing ciblé
• E-mails distribués avec une redirection malveillante vers LinkedIn