Cybersecurityonderzoekers hebben een nieuwe phishingcampagne ontdekt die gebruikmaakt van Google Tekeningen en verkorte links die via WhatsApp zijn gegenereerd om detectie te omzeilen en gebruikers ertoe te verleiden op valse links te klikken die bedoeld zijn om gevoelige informatie te stelen.
“De aanvallers kozen een groep van de bekendste websites in de computerwereld om de dreiging te creëren, waaronder Google en WhatsApp om de aanvalselementen te hosten, en een Amazon-lookalike om de informatie van het slachtoffer te verzamelen,” zei Ashwin Vamshi, onderzoeker bij Menlo Security. “Deze aanval is een geweldig voorbeeld van een Living Off Trusted Sites (LoTS)-dreiging.”
Het startpunt van de aanval is een phishing-e-mail die de ontvangers naar een afbeelding leidt die een verificatielink voor een Amazon-account lijkt te zijn. Deze afbeelding wordt op zijn beurt gehost op Google Drawings, in een poging om detectie te ontwijken.
Misbruik maken van legitieme diensten heeft duidelijke voordelen voor aanvallers. Het is niet alleen een goedkope oplossing, maar belangrijker nog: het biedt een geheime manier van communicatie binnen netwerken, omdat de kans klein is dat ze worden geblokkeerd door beveiligingsproducten of firewalls.
“Een ander ding dat Google Drawings aantrekkelijk maakt in het begin van de aanval is dat het gebruikers (in dit geval de aanvaller) toestaat om links in hun afbeeldingen op te nemen,” zei Vamshi. “Zulke links kunnen gemakkelijk onopgemerkt blijven door gebruikers, vooral als ze een gevoel van urgentie voelen rond een potentiële bedreiging voor hun Amazon-account.”
Gebruikers die op de verificatielink klikken, worden doorgestuurd naar een vergelijkbare inlogpagina van Amazon. De URL is achtereenvolgens samengesteld met behulp van twee verschillende URL-verkorters: WhatsApp (“l.wl(.)co”) gevolgd door qrco(.)de. Deze vormen een extra laag van verduistering en misleidende URL-beveiligingsscanners.
De neppagina is ontworpen om inloggegevens, persoonlijke informatie en creditcardgegevens te verzamelen, waarna de slachtoffers worden omgeleid naar de originele gephishte Amazon-inlogpagina. Als extra stap wordt de webpagina ontoegankelijk gemaakt vanaf hetzelfde IP-adres zodra de inloggegevens zijn gevalideerd.
Deze onthulling komt nadat onderzoekers een lek in de anti-phishingmechanismen van Microsoft 365 hebben ontdekt. Dit lek kan worden misbruikt om het risico te vergroten dat gebruikers phishingmails openen.
De methode omvat het gebruik van CSS-trucs om de “First Contact Safety Tip” te verbergen, die gebruikers waarschuwt wanneer ze e-mails ontvangen van een onbekend adres. Microsoft, dat het probleem heeft erkend, heeft nog geen oplossing uitgebracht.
“De First Contact Safety Tip wordt toegevoegd aan de body van een HTML-e-mail, wat betekent dat het mogelijk is om de manier waarop deze wordt weergegeven te wijzigen door middel van CSS-stijltags,” aldus de Oostenrijkse cybersecurity-organisatie Certitude. “We kunnen dit nog een stap verder brengen en de iconen spoofen die Microsoft Outlook toevoegt aan e-mails die zijn versleuteld en/of ondertekend.”