Το Fake Calendly προσκαλεί κορυφαίες επωνυμίες να παραβιάσουν λογαριασμούς διαχειριστή διαφημίσεων

Μια συνεχιζόμενη καμπάνια ηλεκτρονικού ψαρέματος υποδύεται δημοφιλείς επωνυμίες, όπως η Unilever, η Disney, η MasterCard, η LVMH και η Uber, σε θέλγητρα με θέμα Calendly για την κλοπή των διαπιστευτηρίων επαγγελματικού λογαριασμού του Google Workspace και του Facebook.

Αν και οι φορείς απειλών που στοχεύουν λογαριασμούς διαχειριστή διαφημίσεων επιχειρήσεων δεν είναι κάτι νέο, η καμπάνια ανακαλύφθηκε από την Push Security είναι ιδιαίτερα στοχευμένο, με επαγγελματικά κατασκευασμένα θέλγητρα που δημιουργούν προϋποθέσεις για υψηλά ποσοστά επιτυχίας.

Η πρόσβαση σε λογαριασμούς μάρκετινγκ δίνει στους παράγοντες απειλών ένα εφαλτήριο για να ξεκινήσουν καμπάνιες κακόβουλης διαφήμισης για επιθέσεις phishing, διανομή κακόβουλου λογισμικού και ClickFix AiTM.

Επίσης, οι πλατφόρμες διαφημίσεων επιτρέπουν τη γεωγραφική στόχευση, το φιλτράρισμα τομέα και τη στόχευση συγκεκριμένης συσκευής, επιτρέποντας επιθέσεις τύπου “watering hole”.

Τελικά, οι παραβιασμένοι λογαριασμοί μάρκετινγκ μπορούν να μεταπωληθούν σε εγκληματίες του κυβερνοχώρου, επομένως η άμεση δημιουργία εσόδων είναι πάντα μια έγκυρη επιλογή.

Οι λογαριασμοί Google Workspace επεκτείνονται επίσης συχνά σε εταιρικά περιβάλλοντα και επιχειρηματικά δεδομένα, ειδικά μέσω SSO και επιτρεπόμενων διαμορφώσεων IdP.

Calendly phishing

Το Calendly είναι μια νόμιμη διαδικτυακή πλατφόρμα προγραμματισμού όπου ο διοργανωτής μιας σύσκεψης στέλνει έναν σύνδεσμο στο άλλο μέρος, επιτρέποντας στους παραλήπτες να επιλέξουν ένα διαθέσιμο χρονικό διάστημα.

Η υπηρεσία έχει γίνει κατάχρηση στο παρελθόν για επιθέσεις phishing, αλλά η χρήση γνωστών εμπορικών σημάτων για την εκμετάλλευση της εμπιστοσύνης και της εξοικείωσης είναι αυτό που ανύψωσε αυτήν την καμπάνια.

Η επίθεση ξεκινά με τον ηθοποιό απειλών να υποδύεται έναν στρατολόγο για μια γνωστή μάρκα και στη συνέχεια να στέλνει μια ψεύτικη πρόσκληση συνάντησης στον στόχο. Οι υπεύθυνοι προσλήψεων είναι νόμιμοι υπάλληλοι που πλαστοπροσωπούνται επίσης στις σελίδες προορισμού ηλεκτρονικού ψαρέματος.

Τα μηνύματα ηλεκτρονικού ψαρέματος πιστεύεται ότι έχουν δημιουργηθεί με χρήση εργαλείων τεχνητής νοημοσύνης και για να υποδύονται περισσότερες από 75 επωνυμίες, συμπεριλαμβανομένων των LVMH, Lego, Mastercard και Uber.

Μόλις το θύμα κάνει κλικ στον σύνδεσμο, μεταφέρεται σε μια ψεύτικη σελίδα προορισμού Calendly που παρουσιάζει ένα CAPTCHA, ακολουθούμενο από μια σελίδα phishing AiTM που επιχειρεί να κλέψει τις περιόδους σύνδεσης των επισκεπτών στο Google Workspace.

Η Push Security είπε στο BleepingComputer ότι επιβεβαίωσαν ότι η καμπάνια στοχεύει λογαριασμούς διαχειριστή διαφημίσεων Google MCC αφού μίλησε με έναν από τους οργανισμούς που επηρεάστηκαν από την επίθεση phishing.

Η Push Security βρήκε 31 μοναδικές διευθύνσεις URL που υποστηρίζουν αυτήν την καμπάνια, αλλά μετά από περαιτέρω έρευνα, οι ερευνητές ανακάλυψαν επιπλέον παραλλαγές.

Μία παραλλαγή υποδύθηκε τα Unilever, Disney, Lego και Artisan για να στοχεύσει τα διαπιστευτήρια του Facebook Business.

Μια πιο πρόσφατη παραλλαγή στοχεύει τα διαπιστευτήρια Google και Facebook χρησιμοποιώντας επιθέσεις Browser-in-the-Browser (BitB) που εμφανίζουν ψεύτικα αναδυόμενα παράθυρα με νόμιμες διευθύνσεις URL για την κλοπή διαπιστευτηρίων λογαριασμού.

Οι σελίδες phishing διαθέτουν μηχανισμούς κατά της ανάλυσης, όπως τον αποκλεισμό της κυκλοφορίας VPN και διακομιστή μεσολάβησης και την αποτροπή του επισκέπτη από το άνοιγμα εργαλείων προγραμματιστή ενώ βρίσκεται στη σελίδα.

Ταυτόχρονα, η Push Security παρατήρησε μια άλλη καμπάνια κακόβουλης διαφήμισης που στόχευε λογαριασμούς Google Ads Manager, στην οποία οι χρήστες που αναζήτησαν το “Google Ads” στην Αναζήτηση Google κατέληξαν να κάνουν κλικ σε μια κακόβουλη χορηγούμενη διαφήμιση.

Αυτά τα αποτελέσματα κατευθύνουν τα θύματα σε μια σελίδα phishing με θέμα το Google Ads, η οποία στη συνέχεια τα ανακατευθύνει σε μια σελίδα phishing AiTM που υποδύεται την οθόνη σύνδεσης της Google.

Η Push Security ανακάλυψε πολλές περιπτώσεις αυτής της καμπάνιας, φιλοξενήθηκαν στο Odoo και μερικές φορές δρομολογήθηκαν μέσω Kartra.

Παρόμοιες καμπάνιες που στοχεύουν λογαριασμούς διαχειριστή διαφημίσεων έχουν τεκμηριωθεί στο παρελθόν, αλλά παραμένουν προσοδοφόρες για τους παράγοντες απειλών.

Καθώς οι τεχνικές AiTM επιτρέπουν στους εισβολείς να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας δύο παραγόντων (2FA), συνιστάται στους κατόχους πολύτιμων λογαριασμών να χρησιμοποιούν κλειδιά ασφαλείας υλικού, να επαληθεύουν τις διευθύνσεις URL πριν εισαγάγουν τα διαπιστευτήριά τους και να σύρουν τα αναδυόμενα παράθυρα σύνδεσης στην άκρη του παραθύρου του προγράμματος περιήγησης για να επαληθεύσουν τη νομιμότητά τους.