[[385402]]

研究人員發(fā)現(xiàn)了一種被稱為LogoKit的網(wǎng)絡(luò)釣魚工具包，它可以自動將目標(biāo)公司的logo放置到釣魚登錄頁面上，這一功能解決了網(wǎng)絡(luò)犯罪分子最頭疼的問題。這可以使攻擊者輕松模仿制作出公司的登錄頁面，在此之前，想完成這一任務(wù)是很困難的。

在過去的30天里，網(wǎng)絡(luò)犯罪分子已經(jīng)使用LogoKit對超過700個公司的域名發(fā)起了釣魚攻擊。釣魚攻擊頁面從常用的登錄頁面到虛假的SharePoint、Adobe Document Cloud、OneDrive、Office 365和加密貨幣交易所的登錄門戶。

RiskIQ的安全研究員Adam Castleman周三表示："LogoKit實現(xiàn)的功能是發(fā)送郵件并在其中附加上釣魚網(wǎng)頁鏈接，然后添加上公司的標(biāo)識以增強可信度。這個工具給犯罪分子的攻擊提供了便利，同時也可以在不改變模板的情況下實現(xiàn)對于現(xiàn)有材料的重復(fù)利用。"

網(wǎng)絡(luò)釣魚套件

網(wǎng)絡(luò)犯罪分子可以以20美元至880美元的價格購買網(wǎng)絡(luò)釣魚套件，除了需要一些基本的編程技能外，用戶幾乎不需要什么技術(shù)知識就可以操作。這些工具包經(jīng)常被用來竊取受害者的各種數(shù)據(jù)，包括用戶名、密碼、信用卡號碼、社會安全號碼等。

為了使用這些工具包，網(wǎng)絡(luò)犯罪分子首先要入侵合法的內(nèi)容管理系統(tǒng)，或利用他們自己的網(wǎng)絡(luò)設(shè)施，將其安裝在遠程服務(wù)器上。安裝后，攻擊者只需要使用電子郵件、短信或社交媒體工具向受害者發(fā)送垃圾郵件，并將受害者引導(dǎo)到網(wǎng)絡(luò)釣魚工具包的登陸頁面。一些網(wǎng)絡(luò)釣魚工具還有管理員后臺，網(wǎng)絡(luò)犯罪分子可以查看其惡意網(wǎng)站的訪問量，查看受害者泄露的敏感數(shù)據(jù)。

釣魚套件并不是什么新鮮事。然而，LogoKit讓網(wǎng)絡(luò)犯罪分子更容易部署釣魚登錄頁面。很多時候，網(wǎng)絡(luò)犯罪分子會在含有漏洞的合法的內(nèi)容管理系統(tǒng)上使用釣魚工具包，這樣可以很方便地處理復(fù)雜的網(wǎng)站布局。但是這樣可能會導(dǎo)致登錄頁面不能正常使用，受害者可能會因此對該網(wǎng)站心生疑慮。

研究人員表示，LogoKit以其簡單易用的特點，很輕松地成功解決了這個問題，因為它只需要執(zhí)行幾行特定的JavaScript代碼。這使得網(wǎng)絡(luò)攻擊者可以輕松地將該工具包集成到現(xiàn)有的HTML模板中，或者構(gòu)建一個簡單的表單，偽造企業(yè)的登錄頁面。

該工具包的另一個特點在于，它能夠從包括合法的對象存儲器在內(nèi)的受信任的來源加載資源。這里還使用了一個新的技巧，鏈接通過把用戶引導(dǎo)到一個已知的域名，使偽造的釣魚登錄頁面看起來更加真實。

例如，在使用LogoKit進行攻擊的時候，在某些情況下，發(fā)現(xiàn)攻擊者會將他們的釣魚頁面托管在Google Firebase上。谷歌Firebase是一個移動和網(wǎng)絡(luò)應(yīng)用開發(fā)平臺，由谷歌云存儲提供支持，它為Firebase應(yīng)用提供安全的文件上傳和下載服務(wù)。

工具運作方式

雖然已經(jīng)發(fā)現(xiàn)LogoKit會使用這些合法的托管服務(wù)，但研究人員也發(fā)現(xiàn)在許多被入侵的運行WordPress的網(wǎng)站中，也會托管LogoKit工具。在這兩種情況下，網(wǎng)絡(luò)犯罪分子都會向受害者發(fā)送一個含有電子郵件地址的特定的URL。這種URL例如：

"phishingpage. site/login.html#victim@company.com."

研究人員稱："分隔符是'@'符號，它允許用戶使用腳本提取用戶/公司的域名來獲取標(biāo)識，并最終將受害者的網(wǎng)絡(luò)請求進行重定向。"

如果受害者點擊URL，LogoKit就會從第三方服務(wù)中獲取公司的標(biāo)志，比如常見的營銷數(shù)據(jù)引擎Clearbit或谷歌的favicons(與特定網(wǎng)頁相關(guān)的圖形圖標(biāo))數(shù)據(jù)庫。

受害者的電子郵件也會被自動填入到登錄表單的電子郵件或用戶名輸入欄中。研究人員指出，這一攻擊技巧會使受害者誤認(rèn)為他們之前已經(jīng)登錄過該網(wǎng)站。

如果受害者輸入密碼，LogoKit會執(zhí)行AJAX請求，將目標(biāo)的電子郵件和密碼發(fā)送到外部數(shù)據(jù)源中。

在某些情況下，犯罪分子會使用一些通用的欺騙手段，比如網(wǎng)站會進行身份驗證，確保輸入的數(shù)據(jù)和電子郵件地址是有效的，工具包會 "欺騙用戶"，稱他們的密碼是錯誤的，并且提示他們再次輸入密碼。最后，受害者在輸入密碼后會被重定向到其公司網(wǎng)站。

研究人員表示，現(xiàn)在很多行業(yè)已經(jīng)成為攻擊者使用LogoKit進行攻擊的目標(biāo)，包括金融、法律和娛樂行業(yè)。

Castleman說："LogoKit為攻擊者提供了一個很好的攻擊工具，這使得網(wǎng)絡(luò)攻擊者可以輕松將該工具包集成到現(xiàn)有的HTML模板中，或者只需構(gòu)建一個簡單的表單，就可以偽造企業(yè)的登錄頁面。"

本文翻譯自：https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如若轉(zhuǎn)載，請注明原文地址。