Abuso del reindirizzamento LinkedIn

10 giugno 2024

Introduzione

Gli attori delle minacce continuano a sfruttare un reindirizzamento che può essere generato tramite LinkedIn, incoraggiando le potenziali vittime a cliccare su una pagina web dannosa progettata per rubare le credenziali.

I reindirizzamenti sono generati da pagine pubbliche su LinkedIn per profili personali o aziendali. Questi profili includono una sezione con un link a un sito esterno che può essere recuperato come URL di reindirizzamento generato da LinkedIn. Questa tecnica può aiutare gli attori delle minacce a eludere le misure di sicurezza progettate per proteggere contro gli URL dannosi e far recapitare un'email nella casella di posta di vittime ignare.

Campagne

Sono state osservate due campagne principali in due giorni, a marzo e aprile 2024, utilizzando un tema simile per notificare il destinatario che ha ricevuto una nuova recensione in formato audio, con un link da cliccare per ascoltare il messaggio.

Oggetto:1Messaggio ricevuto dal chiamante

Oggetto:INTEL NEW

Analizzando le intestazioni dell'email, possiamo vedere che è stata inviata da un account Amazon SES probabilmente compromesso dall'attore della minaccia. Il vantaggio per l'attore di compromettere un account SES è che può quindi inviare email dannose da una fonte attendibile che molto probabilmente passerà le normali misure di sicurezza, tra cui SPF, DKIM e DMARC.

Reindirizzamento

Di seguito è riportato un esempio di reindirizzamento dell'URL di LinkedIn preso dalla seconda campagna.

hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Questo reindirizzamento di LinkedIn non è un reindirizzamento aperto, il che significa che non può essere abusato semplicemente sostituendo la sezione della query dell'URL contenente la destinazione del reindirizzamento. Ciò implica che l'attore della minaccia abbia dovuto generare l'URL da LinkedIn. L'attore della minaccia ha probabilmente generato questo reindirizzamento creando un profilo pubblico su LinkedIn e aggiungendo sezioni che contengono un link a una risorsa esterna. Un attore di minacce può quindi copiare il reindirizzamento generato da LinkedIn e incollarlo in una campagna email.

Catena di reindirizzamento
Osservando uno dei link di reindirizzamento di LinkedIn da una delle campagne sopra menzionate...

Formato URL:
hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Pagina di destinazione
hxxps://lookerstudio.google[.]com/reporting/ce8908e1-d4e1-46d1-9087-7b8dc3e8dd6f/page/67CrD?s=scrHqwjeA3k

Captcha

L'attore della minaccia ha incluso un captcha di Cloudflare in uno degli URL di reindirizzamento per rendere difficile agli strumenti di sicurezza la scansione del link e determinare se l'URL finale è dannoso.

hxxps://okc.palledon[.]com/?unkbjkwn=0aae36c6e061aa3f26cbcc34c062b75b18a753529a21b5df81391f2085dc3140ab0c7064a0c6b7ff5bf35f00be826d862bbb107de90164655f78f7ddf91fc468

Pagina di acquisizione delle credenziali

Pagina finale di phishing che impersona Microsoft online per raccogliere e rubare le credenziali degli utenti.

hxxps://index.keltinag[.]com/?ay14c1s87=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

Decodificando query string base64 alla fine dell'URL della pagina di acquisizione delle credenziali si ottiene:
hxxps://login.microsoftonline[.]com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000&redirect_uri=hxxps://outlook.office[.]com/owa/&resource=00000002-0000-0ff1-ce00-000000000000&response_mode=form_post&response_type=code id_token&scope=openid&msafed=1&msaredir=1&client-request-id=c1ce9da1-6c59-d48f-b4cf-f6bf36d81ae6&protectedtoken=true&claims={"id_token":{"xms_cc":{"values":["CP1"]}}}&nonce=638519004680601011.5f70bd1f-9ad9-4793-bfbe-91b750cae2d6&state=DctBFoAgCABRrNdxSMgEOY6kblt2_Vj82U0CgD1sIVEEVEqrbES3NBJiYj7rUvLBC60Pw1utoC-faOxa6enzGpLiPfL79fwD

Questa è una tecnica comune utilizzata dagli attori delle minacce per le pagine phishing di raccolta di credenziali. La vittima inserirà le proprie credenziali e verrà visualizzato un falso messaggio di errore di accesso. Verrà quindi reindirizzata alla pagina di login legittima. La vittima penserà di aver solo inserito le proprie credenziali in modo errato la prima volta e riproverà nella pagina di accesso legittima.

Schema di attacco

Data la complessità dell'infrastruttura utilizzata per rubare le credenziali, è probabile che l'attore della minaccia abbia utilizzato un noto phishkit o uno strumento di phishing as a service tool (PhaaS) che avrà fornito un'infrastruttura pronta all'uso gestita dal proprietario del servizio.

Ecco un riepilogo del modello di attacco utilizzato per queste campagne:

• Infrastruttura istituita
• Più domini registrati per ospitare alcune fasi della catena di reindirizzamento, tra cui la pagina Cloudflare Captcha e la pagina di phishing finale con le credenziali.
• Servizi web usati in modo improprio
• Google Looker Studio ospiterà la pagina di destinazione iniziale
• Captcha di Cloudflare per eludere gli scanner di URL
• Abuso di uno strumento di social media
• Pagina LinkedIn pubblica creata. Probabilmente un profilo aziendale con un collegamento esterno alla pagina di destinazione iniziale in Looker Studio
• Account email compromessi
• Account Amazon SES compromessi per distribuire email dannose contenenti un reindirizzamento di LinkedIn da

Tattiche, tecniche e procedure

• T1586.002 - compromissione degli account: account email
• L'attore malevolo ha compromesso gli account Amazon SES per distribuire email dannose.
• T1583 - acquisire infrastruttura
• Domini registrati per ospitare il Captcha di Cloudflare e una pagina di phishing delle credenziali (probabilmente tramite un phishkit o uno strumento PhaaS)
• T1583.006 - acquisire infrastrutture: servizi web
• L'attore della minaccia ha utilizzato Google Looker Studio per allestire una pagina di destinazione per il reindirizzamento di LinkedIn.
• Reindirizzamento generato tramite LinkedIn
• T1566.002 - Phishing: Link di spearphishing
• Email distribuite con un reindirizzamento dannoso di LinkedIn