LogoKit 更新：利用开放重定向漏洞的网络钓鱼工具包

Hackernews 编译，转载请注明出处：

LogoKit：黑客利用在线服务和应用中流行的开放重定向漏洞，来绕过网络钓鱼活动中的垃圾邮件过滤器。

Resecurity, Inc.（美国）是一家总部位于洛杉矶的网络安全公司，为财富500强企业提供托管威胁检测和响应，识别黑客，它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器，最终提供网络钓鱼内容。

他们使用高度可信的服务域，如Snapchat和其他在线服务，创建特殊的URL，从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit，曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。

LogoKit的峰值是在8月初左右发现的，当时已经注册了多个冒充流行服务的新域名，并与开放重定向一起使用。虽然LogoKit在地下就为人所知，但自2015年以来，其背后的网络犯罪集团一直在利用新策略。

LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标（模拟服务）和文本，以适应动态变化，这样，目标受害者更有可能与恶意资源进行交互。2021年11月左右，在利用LogoKit的活动中使用了700多个已识别的域名，其数量还在不断增长。

值得注意的是，参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf，或未经授权访问合法网络资源，然后将其用作主机来进行进一步的网络钓鱼分发。

LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL，LogoKit就会从第三方服务（如Clearbit或谷歌的favicon数据库）获取公司徽标。然后，受害者的电子邮件会自动填写电子邮件或用户名字段，从而使他们感觉自己以前登录过。如果受害者随后输入密码，LogoKit将执行AJAX请求，将目标的电子邮件和密码发送到外部源，最终将受害者重定向到他们的“合法”公司网站。

这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测，从而诱使受害者访问恶意资源。

不幸的是，开放重定向漏洞的使用极大促进了LogoKit的分发，因为许多（甚至流行的）在线服务并不将此类漏洞视为关键问题，在某些情况下，甚至不进行修补，为这种滥用留下了机会。

Resecurity发布的分析报告中提供了更多细节。

消息来源：securityaffairs，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文