Une récente campagne de phishing ciblant les cadres supérieurs a exploité une vulnérabilité de redirection ouverte sur le site Web Indeed, prévient la société de cybersécurité Menlo Security.
Basée aux États-Unis, Indeed est une plateforme mondiale de recherche d’emploi populaire, qui revendique plus de 350 millions de visiteurs uniques chaque mois et plus de 14 000 employés dans le monde.
Compte tenu de sa grande popularité, la plateforme est considérée comme une source fiable par les produits de prévention du phishing, et la campagne de phishing nouvellement identifiée montre comment les acteurs malveillants peuvent abuser de cette confiance.
Selon Menlo Security, depuis juillet 2023, des pirates ont été observés exploitant une faille de redirection ouverte dans le site Web Indeed.com pour diriger les victimes vers une page de phishing conçue pour voler leurs informations d’identification Microsoft.
Les attaques visaient principalement les employés de haute direction et d’autres cadres d’organisations de services bancaires et financiers, d’assurance, de gestion immobilière et immobilière, ainsi que d’organisations manufacturières, principalement aux États-Unis.
Dans le cadre de l’attaque, la victime recevait un e-mail de phishing contenant un lien semblant diriger le destinataire vers Indeed.com. Cependant, en cliquant sur le lien, la victime serait redirigée vers une fausse page de connexion Microsoft déployée à l’aide du framework de phishing EvilProxy.
Récupérant dynamiquement tout le contenu de la page à partir du domaine Microsoft légitime, le kit de phishing agit comme un proxy inverse, permettant à l’attaquant d’intercepter les informations d’identification de la victime avant qu’elles ne soient envoyées à la page de connexion réelle.
En outre, le kit de phishing vole également les cookies de session de la victime, que l’attaquant peut ensuite utiliser pour usurper l’identité de la victime et accéder à son compte Microsoft, en contournant certains mécanismes d’authentification multifacteur (MFA).
L’attaque, explique Menlo Security, reposait sur le fait que le site Web Indeed.com pouvait être abusé pour rediriger les visiteurs vers une ressource externe non fiable.
Dans le cadre de la campagne, les attaquants ont été aperçus en train d’utiliser le sous-domaine « lmo ». et héberger leurs pages de phishing sur des serveurs nginx qui pourraient servir de proxy inverse.
“Le proxy inverse récupère tout le contenu qui peut être généré dynamiquement, comme les pages de connexion, puis agit comme un adversaire intermédiaire en interceptant les demandes et les réponses entre la victime et le site légitime”, explique Menlo.
La société de cybersécurité a signalé le problème de redirection ouverte et l’activité malveillante observée à Indeed, mais il n’est pas clair si le site Web d’emploi l’a résolu. Un porte-parole d’Indeed n’a pas encore répondu à une Semaine de la sécurité enquête à ce sujet.
“La compromission de compte ne constitue que les étapes préliminaires d’une chaîne d’attaque qui pourrait éventuellement aboutir à une compromission de messagerie professionnelle, où l’impact potentiel pourrait aller du vol d’identité au vol de propriété intellectuelle et à des pertes financières massives”, note Menlo.
Proofpoint a récemment signalé avoir vu une campagne de phishing similaire, ciblant les dirigeants de plus de 100 organisations utilisant l’outil de phishing EvilProxy. Lors de ces attaques, les cybercriminels ont exploité d’autres services légitimes, tels que YouTube, pour effectuer des redirections.
