Ściągasz aktualizację z Adobe, a nie, ściągasz backdoora! Zobaczcie na tego niewinnego URL-a używanego w aktywnych atakach phishingowych

27 września 2019, 18:20 | W biegu | 1 komentarz
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Ciekawy wątek na Reddicie, dotyczący URL-a z koszmarów:

NIE KLIKAĆ! http:// t-info.mail.adobe.com/r/?id=hc43f43t4a,afd67070,affc7349&p1=t.mid.accor-mail.com/r/?id=159593f159593159593,hde43e13b13,ecdfafef,ee5cfa06&p1=filepmgklf.com/victimemail @domain.com

Tu w zasadzie nie ma żadnej „podpuchy”. Link jest w prawidłowej domenie adobe.com, która zawiera jednak podatność Open Redirect. Kliknijcie np. tutaj: https://t-info.mail.adobe.com/r/?id=hc43f43t4a,afd67070,affc7349&p1=sekurak.pl

Oj. Jesteście nie na serwerze Adobe, ale na sekuraku! Wcześniejszy link zawiera aż trzy przekierowania – jedno ze strony Adobe do innej domeny .accor-mail.com (należącej do znanej sieci hoteli), tam jest kolejny open redirect, do serwera atakujących, który robi finalne przekierowanie. Link jest wykorzystywany w aktywnych kampaniach phishingowych i jak widać, dokładne sprawdzanie domeny może nie być w pewnych przypadkach skuteczne. Jak też widać przed atakiem nie chroni https, ani nawet zielona czy jakakolwiek inna „kłódka”, ani 256 bitowy AES…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. gosc

    Ponieważ jest to dość ciekawe długo patrzyłem się w linka i zauważyłem pewna zbieżność z linkiem przekierowania googla.
    Porównując oba linki zgaduje ze w tym linku „r” miało sugerować „redirect” , ale mógł być to tez tylko przypadek :D

    Odpowiedz

Odpowiedz na gosc