LogoKit Group apunta a un phishing straightforward pero efectivo



Un package de phishing que utiliza JavaScript integrado se dirigió a los usuarios de más de 300 sitios la semana pasada, con el objetivo de obtener credenciales para SharePoint, Adobe Document Cloud y OneDrive.

Un package de phishing relativamente nuevo utiliza JavaScript incrustado para cambiar dinámicamente elementos de páginas world wide web falsificadas para engañar más fácilmente a los usuarios.

La adopción de la herramienta de phishing, llamada LogoKit, aparentemente se ha acelerado, con 700 dominios ejecutando el package en el último mes (300 de ellos solo en la última semana) y dirigidos a usuarios de dominios populares, como Microsoft SharePoint y OneDrive, según un análisis de la firma de ciberseguridad RiskIQ. La herramienta de ataque es straightforward y versátil, se integra con los elementos de presentación de una página net y le permite cambiar la apariencia del sitio world-wide-web sobre la marcha, dijo la compañía.

Además, su estrategia de utilizar servicios legítimos para alojar elementos del sitio hace que los sitios de phishing sean más difíciles de detectar, dice Adam Castleman, investigador de amenazas de RiskIQ.

«Su flexibilidad para poder adaptarse a múltiples pretextos de ingeniería social en sólo unas pocas líneas de JavaScript y HTML es lo que hace que esto sea interesante», dice. «Los atacantes pueden alojar su secuencia de comandos de colección para robar credenciales en cualquier servidor de terceros mientras ocultan uno o varios pretextos sobre servicios net legítimos o comprometidos».

El phishing sigue siendo una de las tácticas más utilizadas entre los atacantes para iniciar un ataque, solo superada por el uso de credenciales robadas. Los atacantes utilizaron phishing en el 22% de las infracciones exitosas y usaron o robaron credenciales en el 37% de las infracciones exitosas, según el Informe anual de infracciones de datos de Verizon (DBIR).

«El phishing ha sido, y sigue siendo, un método fructífero para los atacantes», afirma el DBIR. «La buena noticia es que las tasas de clics son más bajas que nunca (3.4%) y las tasas de informes están aumentando, aunque lentamente».

El Grupo de Análisis de Amenazas de Google anunció esta semana que los piratas informáticos norcoreanos habían utilizado la ingeniería social para engañar a algunos investigadores de seguridad para que se conectaran a las redes sociales y, en algunos casos, descargaran malware.

Como un juego de herramientas easy y adaptable con plantillas para los principales servicios en línea, LogoKit podría hacer que un mayor número de usuarios sea susceptible a ataques de phishing, especialmente con la capacidad del juego de herramientas para usar diferentes métodos de entrega, como sitios comprometidos, infraestructura alojada por atacantes y almacenamiento de objetos. , RiskIQ afirma en su informe.

El conjunto de herramientas no es técnicamente sofisticado pero está bien pensado, dice Castleman.

«Si bien no es demasiado complejo, una de las facetas más interesantes de LogoKit es el uso de proveedores de alojamiento de objetos legítimos, como Amazon S3, en un intento de evitar el filtrado común de correo electrónico y crimson», dice.

RiskIQ ha encontrado ejemplos de la orientación del kit de herramientas, entre otros servicios, SharePoint, Adobe Doc Cloud, OneDrive, Place of work 365, portales de Google Firebase, almacenamiento de objetos de Amazon y almacenamiento de objetos de Digital Ocean. El uso de servicios legítimos puede hacer que las páginas de phishing sean más difíciles de detectar, dice RiskIQ.

Si una víctima ingresa sus credenciales en la página de inicio de sesión que se muestra, LogoKit enviará la información a un servidor controlado por el atacante y luego redirigirá al usuario al sitio legítimo, que LogoKit ha imitado. En algunos casos, el atacante puede requerir que el usuario vuelva a ingresar su contraseña, quizás como una verificación de que la contraseña es correcta.

LogoKit no es la única campaña de phishing que utiliza JavaScript de forma creativa. En octubre, Akamai descubrió que un mayor volumen de ataques de phishing utilizaba JavaScript como una forma de ofuscar la intención de cualquier archivo o script en el correo electrónico.

Las empresas deben centrarse en la formación de los empleados sobre concienciación sobre la seguridad, ya que las URL generadas por LogoKit utilizan servicios legítimos y podrían eludir fácilmente las medidas de seguridad existentes. RiskIQ recomienda que los administradores del sitio revisen con regularidad sus sistemas de administración de contenido en busca de actualizaciones para detectar cualquier cambio realizado por el kit de herramientas de phishing, así como buscar código inyectado.

«Las empresas deben asegurarse de que los usuarios conozcan las tácticas comunes de phishing y de verificar siempre las comunicaciones relacionadas con sus cuentas con los departamentos de TI corporativos», dice Castleman. «Como los usuarios de LogoKit pueden enviar enlaces a servicios de uso común, esto aumenta el éxito potencial de evitar los filtros de spam».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Examining, MIT&#39s Know-how Overview, Well-known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first