钓鱼攻击伪装成大品牌求职面试以窃取 Google 账户
- 浏览次数 106
- 喜欢 0
一场钓鱼活动冒充超过 30 个知名品牌,包括 Adobe、Netflix、Coca-Cola 和 OpenAI,通过虚假的求职面试来窃取营销专业人士的 Google 账户凭证。
该操作滥用了合法的云端 PeopleForce 人力资源平台以及一个与 Salesforce Marketing Cloud 服务关联的域名,然后将收件人重定向到一个恶意登陆页面。
为进一步建立信任并提高成功率,威胁行为者使用了被冒充公司中真实招聘人员的姓名和照片。
网络安全情报与威胁追踪公司 Team Cymru 的高级顾问 Will Thomas 分析了该活动,发现钓鱼邮件伪装成"寻找营销职位候选人的招聘人员"发送。
研究人员发现,威胁行为者使用了至少 34 个冒充以下行业高价值公司的域名:
- 航空与旅行:American Airlines、Booking.com、Delta Air Lines、United Airlines
- 食品与饮料:Coca-Cola、PepsiCo、Red Bull
- 服装与奢侈品:Adidas、Louis Vuitton、Sephora、Levis
- 人员配置、咨询与科技:Adobe、Aquent、ManpowerGroup、McKinsey & Company、OpenAI
- 酒店与营销:Marriott、Omnicom Group
- 娱乐与体育:FIFA、Netflix
Thomas 发现该活动依赖于嵌套重定向技术,该技术将访问者依次路由通过多个合法服务,最终到达恶意登陆页面。
研究人员指出,虽然钓鱼邮件看似来自 PeopleForce,但其底层链接解析到 exct[.]net 域名,该域名由 Salesforce 运营,是其在收购 ExactTarget 营销自动化平台(现已更名为 Salesforce Marketing Cloud)后获得的。
ExactTarget 将用户重定向到 Wise Agent (wiseagent[.]com) 云端房地产客户关系管理软件,该软件再转发到钓鱼登陆页面。
BleepingComputer 发现该操作已运行至少五个月,最初使用带有被冒充公司名称的 Outlook 电子邮件地址。
一封伪装成 Adidas 招聘人员 Paulina Manzo 的钓鱼邮件,要求收件人安排一次关于该公司潜在职位的对话。
钓鱼邮件试图窃取 Gmail 密码
当点击日历链接时,收件人被重定向到威胁行为者的登陆页面 adidas-hiring[.]com。
为了继续安排与招聘人员的会议流程,潜在受害者被要求登录其 Google 账户。
冒充 Adidas 的虚假会议安排页面
点击"Continue with Google"按钮会触发一个在钓鱼页面内渲染的虚假 Google 登录弹窗,以冒充 Google 身份验证。
虽然弹窗看起来像一个合法的浏览器窗口,但它只是在钓鱼页面内渲染的 HTML 和 CSS 代码,这种技术称为浏览器中的浏览器。
通过使用现代 Web 开发工具,攻击者可以模仿合法身份验证弹窗页面的所有元素。
虚假的 Google 身份验证表单
虽然尚不清楚威胁行为者是如何获得对这些合法平台的访问权限的,但滥用它们并不意味着这些服务本身遭到了入侵。
一种可能的途径是专门为该活动创建一个真实账户,或使用被入侵的登录信息,从而允许配置重定向链和登陆页面。
Will Thomas 在其 GitHub 分析中提供了该钓鱼活动中发现的域名列表。