CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate zero-day a serviciului de email Salesforce exploatată într-o campanie de phishing

https://www.securityweek.com

A fost exploatată o vulnerabilitate de tip „zero-day” din cadrul Salesforce și au fost folosite funcțiile Meta într-o campanie de phishing complexă.

Atacatorii au trimis emailuri cu aspect legitim, concepute pentru a atrage utilizatorii să acceseze o pagină de phishing, unde aceștia furnizau informații despre contul lor de Facebook, inclusiv numele, numele contului, adresa de e-mail, numărul de telefon și parola.

Emailurile din cadrul campaniei menționau numele real al utilizatorului vizat, păreau să provină de la „Meta Platforms” și au fost trimise de la o adresă cu domeniul @salesforce.com.

În conținutul emailului exista un buton care redirecționa către un domeniu legitim al Facebook, apps.facebook.com, iar utilizatorii erau informați cu privire la încălcarea termenilor de utilizare a serviciului Facebook. Dacă utilizatorii accesau butonul pentru ‘rezolvarea problemei’, erau redirecționați către o pagină de phishing unde trebuiau să furnizeze informații.

Faptul că emailul provenea de la o adresă cu domeniul @salesforce.com și că linkul pe care îl includea trimitea către facebook.com a fost un ‘ajutor’ astfel încât să fie ocolite mecanismele tradiționale de securitate.

Atacatorii au vizat componenta Email Gateway din Salesforce CRM, în special funcția „Email-To-Case”, concepută pentru a converti emailurile primite de la clienți în tichete care pot fi utilizate în Salesforce. Astfel au reușit să primească emailuri de verificare ce le-au oferit controlul asupra unei adrese de email Salesforce autentice, pe care au putut să o folosească pentru a trimite emailuri de phishing.

În ceea ce privește Facebook, pagina de phishing a fost găzduită pe o platformă de jocuri web oferită de Facebook până în 2021. Deși platforma a fost dezactivată, jocurile dezvoltate înainte de această dată pot primi în continuare asistență și se pare că atacatorii au obținut acces la un cont asociat unui astfel de joc și au folosit acel cont pentru a-și găzdui pagina de phishing. 

A fost implementată o soluție de remediere pentru toate serviciile și instanțele afectate, împiedicând utilizarea unei adrese din domeniul Salesforce pentru a trimite emailuri. Meta a eliminat conturile și jocul malițios.

Sursa: https://www.securityweek.com/salesforce-email-service-zero-day-exploited-in-phishing-campaign/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică | Newsphere by AF themes.