[[385402]]

研究人員發現了一種被稱為LogoKit的網絡釣魚工具包，它可以自動將目標公司的logo放置到釣魚登錄頁面上，這一功能解決了網絡犯罪分子最頭疼的問題。這可以使攻擊者輕松模仿制作出公司的登錄頁面，在此之前，想完成這一任務是很困難的。

在過去的30天里，網絡犯罪分子已經使用LogoKit對超過700個公司的域名發起了釣魚攻擊。釣魚攻擊頁面從常用的登錄頁面到虛假的SharePoint、Adobe Document Cloud、OneDrive、Office 365和加密貨幣交易所的登錄門戶。

RiskIQ的安全研究員Adam Castleman周三表示："LogoKit實現的功能是發送郵件并在其中附加上釣魚網頁鏈接，然后添加上公司的標識以增強可信度。這個工具給犯罪分子的攻擊提供了便利，同時也可以在不改變模板的情況下實現對于現有材料的重復利用。"

網絡釣魚套件

網絡犯罪分子可以以20美元至880美元的價格購買網絡釣魚套件，除了需要一些基本的編程技能外，用戶幾乎不需要什么技術知識就可以操作。這些工具包經常被用來竊取受害者的各種數據，包括用戶名、密碼、信用卡號碼、社會安全號碼等。

為了使用這些工具包，網絡犯罪分子首先要入侵合法的內容管理系統，或利用他們自己的網絡設施，將其安裝在遠程服務器上。安裝后，攻擊者只需要使用電子郵件、短信或社交媒體工具向受害者發送垃圾郵件，并將受害者引導到網絡釣魚工具包的登陸頁面。一些網絡釣魚工具還有管理員后臺，網絡犯罪分子可以查看其惡意網站的訪問量，查看受害者泄露的敏感數據。

釣魚套件并不是什么新鮮事。然而，LogoKit讓網絡犯罪分子更容易部署釣魚登錄頁面。很多時候，網絡犯罪分子會在含有漏洞的合法的內容管理系統上使用釣魚工具包，這樣可以很方便地處理復雜的網站布局。但是這樣可能會導致登錄頁面不能正常使用，受害者可能會因此對該網站心生疑慮。

研究人員表示，LogoKit以其簡單易用的特點，很輕松地成功解決了這個問題，因為它只需要執行幾行特定的JavaScript代碼。這使得網絡攻擊者可以輕松地將該工具包集成到現有的HTML模板中，或者構建一個簡單的表單，偽造企業的登錄頁面。

該工具包的另一個特點在于，它能夠從包括合法的對象存儲器在內的受信任的來源加載資源。這里還使用了一個新的技巧，鏈接通過把用戶引導到一個已知的域名，使偽造的釣魚登錄頁面看起來更加真實。

例如，在使用LogoKit進行攻擊的時候，在某些情況下，發現攻擊者會將他們的釣魚頁面托管在Google Firebase上。谷歌Firebase是一個移動和網絡應用開發平臺，由谷歌云存儲提供支持，它為Firebase應用提供安全的文件上傳和下載服務。

工具運作方式

雖然已經發現LogoKit會使用這些合法的托管服務，但研究人員也發現在許多被入侵的運行WordPress的網站中，也會托管LogoKit工具。在這兩種情況下，網絡犯罪分子都會向受害者發送一個含有電子郵件地址的特定的URL。這種URL例如：

"phishingpage. site/login.html#victim@company.com."

研究人員稱："分隔符是'@'符號，它允許用戶使用腳本提取用戶/公司的域名來獲取標識，并最終將受害者的網絡請求進行重定向。"

如果受害者點擊URL，LogoKit就會從第三方服務中獲取公司的標志，比如常見的營銷數據引擎Clearbit或谷歌的favicons(與特定網頁相關的圖形圖標)數據庫。

受害者的電子郵件也會被自動填入到登錄表單的電子郵件或用戶名輸入欄中。研究人員指出，這一攻擊技巧會使受害者誤認為他們之前已經登錄過該網站。

如果受害者輸入密碼，LogoKit會執行AJAX請求，將目標的電子郵件和密碼發送到外部數據源中。

在某些情況下，犯罪分子會使用一些通用的欺騙手段，比如網站會進行身份驗證，確保輸入的數據和電子郵件地址是有效的，工具包會 "欺騙用戶"，稱他們的密碼是錯誤的，并且提示他們再次輸入密碼。最后，受害者在輸入密碼后會被重定向到其公司網站。

研究人員表示，現在很多行業已經成為攻擊者使用LogoKit進行攻擊的目標，包括金融、法律和娛樂行業。

Castleman說："LogoKit為攻擊者提供了一個很好的攻擊工具，這使得網絡攻擊者可以輕松將該工具包集成到現有的HTML模板中，或者只需構建一個簡單的表單，就可以偽造企業的登錄頁面。"

本文翻譯自：https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/如若轉載，請注明原文地址。