IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Kybernetická kampaň zneužívá falešné pozvánky z Calendly k napadení reklamních účtů

Kybernetická kampaň zneužívá falešné pozvánky

Probíhající phishingová kampaň se vydává za známé značky, jako jsou Unilever, Disney, MasterCard, LVMH a Uber, prostřednictvím podvodných pozvánek z Calendly s cílem získat přístupové údaje do účtů Google Workspace a firemních účtů na Facebooku. Přestože cílení útočníků na reklamní správce firemních účtů není novinkou, tato kampaň objevená společností Push Security je vysoce cílená a využívá profesionálně připravené nástrahy, které vytváří podmínky pro vysokou úspěšnost útoků.

Získání přístupu k marketingovým účtům dává útočníkům možnost rozvíjet další škodlivé aktivity, například šíření malware pomocí malvertisingu, útoky AiTM phishingem nebo útoky typu ClickFix. Reklamní platformy navíc umožňují geo-cílení, filtrování domén a cílení podle zařízení, což podporuje „watering-hole“ útoky. Ohrožené marketingové účty mohou být dále prodány jiným kyberzločincům pro přímý finanční zisk.

Účty Google Workspace často slouží i v rámci podnikových prostředí a poskytují přístup k firemním datům zejména kvůli využití SSO a otevřeným IdP konfiguracím.

Útok začíná tím, že útočník se vydává za náboráře renomované značky a zašle cíli falešnou pozvánku na schůzku. Skuteční zaměstnanci těchto společností jsou rovněž podvrženi na phishingových stránkách. Odesílané phishingové e-maily, dle všeho připravené pomocí AI nástrojů, napodobují více než 75 značek, mezi nimiž jsou například LVMH, Lego, Mastercard nebo Uber.

Po kliknutí na odkaz je oběť přesměrována na falešnou vstupní stránku Calendly, která nejprve zobrazí CAPTCHA, následně připraví stránku typu AiTM (adversary-in-the-middle), jejímž cílem je odcizit přihlašovací údaje a relace do Google Workspace.

Push Security informoval BleepingComputer, že potvrdili zaměření této kampaně na Google MCC reklamní manažerské účty po rozhovoru s jednou z napadených organizací.

Push Security odhalil 31 unikátních URL podporujících tuto kampaň a při dalším zkoumání nalezl i další varianty. Jedna z nich předstírala identitu firem Unilever, Disney, Lego a Artisan za účelem získání přihlašovacích údajů do Facebook Business účtů.

Novější varianta cílí jak na Google, tak na Facebook pomocí „Browser-in-the-Browser“ (BitB) útoků, které zobrazují falešná vyskakovací okna s legitimně vypadajícími URL adresami pro odcizení přístupových údajů.

Phishingové stránky jsou vybaveny ochranou proti analýze, například blokují přístup z VPN či proxy serverů a zamezují využití vývojářských nástrojů v prohlížeči.

Zdroj: bleepingcomputer.com