Una dintre cele mai masive campanii de phishing denumită ‘EchoSpoofing’ a exploatat permisiunile slabe, deja remediate, din serviciul de protecție a e-mailurilor Proofpoint pentru a trimite milioane de e-mailuri falsificate impersonând entități importante precum Disney, Nike, IBM și Coca-Cola, cu scopul de a viza companii din topul Fortune 100.
Campania a început în ianuarie 2024, diseminând în medie 3 milioane de e-mailuri falsificate zilnic și ajungând la un vârf de 14 milioane de e-mailuri la începutul lunii iunie.
E-mailurile de phishing au fost concepute pentru a fura informații personale sensibile și a genera taxe neautorizate. Acestea includeau, de asemenea, semnături SPF (Sender Policy Framework) și DKIM (Domain Keys Identified Mail) configurate corect, făcându-le să pară autentice recipientelor.
Laboratoarele Guardio au contribuit la descoperirea campaniei de phishing și a breșei de securitate în serverele de releu de e-mail Proofpoint. În mai 2024, aceștia au notificat firma și i-au ajutat să remedieze situația.
Pentru a desfășura campania, actorii malefici au configurat propriile servere SMTP pentru a crea e-mailuri falsificate cu antete manipulate și apoi le-au transmis prin serverele de releu Proofpoint folosind conturi compromise sau rogue Microsoft Office 365.
Atacatorii au folosit Servere Private Virtuale (VPS) găzduite de OVHCloud și Centrilogic pentru a trimite acele e-mailuri și au folosit diverse domenii înregistrate prin intermediul Namecheap.
Actorii amenințători puteau trece de verificările SPF și trimite e-mailuri prin serverele Proofpoint datorită unui registru SPF foarte permisiv configurat pe domenii de către serviciile de securitate a e-mailurilor.
La configurarea unui domeniu pentru a utiliza gateway-ul de e-mail Proofpoint, compania oferă o opțiune de configurare pentru a selecta diverse servicii de e-mail prin care doriți să permiteți releul e-mailurilor.
Când este selectată opțiunea Office 365, a fost creat un registru SPF excesiv de permisiv, permițând oricărui cont Office 365/Microsoft 365 să transmită e-mailuri prin serviciul de e-mail securizat Proofpoint.
Pe setarea implicită, nu pot fi specificate conturi sau chiriași specifici. În schimb, Proofpoint a avut încredere în orice gamă de adrese IP Office 365, ceea ce înseamnă că orice cont putea folosi releul său.
Pentru DKIM, atunci când o companie lucrează cu Proofpoint, aceasta își încarcă cheile private DKIM pe platformă pentru ca e-mailurile care trec prin serviciu să fie semnate corect.
Deoarece e-mailurile treceau acum atât de verificările DKIM, cât și SPF, acestea erau permise să fie livrate în cutiile poștale fără a fi marcate ca spam.
Laboratoarele Guardio explică faptul că platformele majore de e-mail, precum Gmail, tratau aceste e-mailuri ca autentice și, în loc să le trimită în folderele de spam ale oamenilor, le livrau în cutiile poștale.
E-mailurile aveau momeală legate de brandul impersonat, pretinzând expirări de conturi sau solicitări de reînnoire/aprobare a plății.
Într-un raport coordonat de la Proofpoint, compania spune că monitorizau această campanie începând din martie,
Cu IO-urile tehnice partajate de Guardio, Proofpoint a fost capabil să atenueze aceste atacuri și să ofere noi setări și sfaturi despre cum să le prevină în viitor.
Compania are un ghid detaliat despre cum utilizatorii pot adăuga verificări anti-fals și să-și întărească securitatea e-mailurilor, dar unele organizații nu au efectuat nicio acțiune manuală pentru a preveni abuzurile, permițând campaniilor precum EchoSpoofing să se materializeze.
Proofpoint s-a adresat clienților cu setări permisive pentru a-i ajuta să-și securizeze configurarea conturilor.
Compania a introdus antetul ‘X-OriginatorOrg’ pentru a ajuta la verificarea sursei e-mailului și filtrarea e-mailurilor nelegitime și neautorizate.
De asemenea, un nou ecran de configurare pentru Microsoft 365 permite clienților să configureze permisiuni mai restrictive pe conectorii Microsoft 365. Aceste permisiuni specifică chiriașii Microsoft 365 care pot fi transmiși prin serverele Proofpoint.
În cele din urmă, Proofpoint a notificat clienții afectați că actorii de phishing au abuzat cu succes de brandurile lor într-o operațiune de scară largă.
Deși Microsoft a fost, de asemenea, notificat despre abuzul Microsoft 365, conturile ofensatoare rămân active, unele chiar de peste șapte luni.
Phishing-ul pianului gratuit vizează studenții și personalul universitar american
Peste 3.000 de conturi GitHub folosite de serviciul de distribuție malware
Secrestrările DNS vizează platformele de criptomonede înregistrate cu Squarespace
Manualul fals de reparații CrowdStrike împinge malware-ul nou infostealer
Exchange Online adaugă Inbound DANE cu DNSSEC pentru sporirea securității
Leave a Reply