一场持续进行的钓鱼攻击活动正仿冒联合利华、迪士尼、万事达卡、LVMH及Uber等知名品牌,以 Calendly 会议平台为诱饵,窃取Google Workspace和Facebook Business的登录凭据。
尽管针对商业广告管理账户的攻击并非新鲜事,但 Push Security 发现的此次活动具有极强的针对性 —— 攻击者精心制作诱饵,为高成功率创造了条件。一旦获取营销账户访问权限,威胁行为体可将其作为跳板,发起恶意广告活动,用于中间人钓鱼、恶意软件分发及ClickFix攻击。
此外,广告平台支持地理定位、域名过滤和设备定向功能,使攻击者能够实施 “水坑式” 攻击。最终,被攻陷的营销账户还可转售给网络犯罪分子,直接变现始终是其核心获利方式之一。值得注意的是,谷歌工作空间账户通常接入企业环境并关联商业数据,尤其是通过单点登录和宽松的身份提供商配置,可能导致更广泛的信息泄露。
Calendly 钓鱼攻击细节
Calendly 是一款合法的在线日程安排平台,会议组织者可通过发送链接,让接收方自主选择可用时间段。该平台此前曾被用于钓鱼攻击,但此次活动的升级之处在于,攻击者利用知名品牌的信任度和用户熟悉度,大幅提升了诈骗成功率。
攻击流程始于威胁行为体仿冒知名品牌的招聘人员,向目标发送伪造的会议邀请 —— 钓鱼着陆页上甚至会仿冒真实员工的身份信息。据悉,这些钓鱼邮件通过人工智能工具生成,已覆盖超过 75 个品牌,包括路威酩轩、乐高(Lego)、万事达卡和优步等。
攻击执行步骤
- 钓鱼邮件诱导:受害者点击邮件中的链接后,会被引导至伪造的 Calendly 着陆页,页面首先要求完成验证码(CAPTCHA)验证;
- 凭据窃取环节:验证码验证后,跳转至中间人钓鱼(AiTM)页面,试图窃取用户的谷歌工作空间登录会话。Push Security 通过与受影响机构沟通确认,此次活动的核心目标是谷歌多客户中心(MCC)广告管理账户;
- 变体攻击升级:
- 其中一个变体仿冒联合利华、迪士尼、乐高和 Artisan 等品牌,专门针对脸书商业账户凭据;
- 最新变体则采用 “浏览器中浏览器”(BitB)技术,通过显示带有合法 URL 的伪造弹窗,同时窃取谷歌和脸书账户凭据;
- 反分析机制:钓鱼页面内置反检测功能,包括拦截 VPN 和代理流量、阻止用户打开开发者工具等,以规避安全分析。
关联恶意广告活动
Push Security 同时发现另一项针对谷歌广告管理器(Google Ads Manager)账户的恶意广告活动:用户在谷歌搜索中输入 “Google Ads” 时,排名首位的可能是恶意赞助广告。点击该广告后,用户会被导向谷歌广告主题的钓鱼页面,进而跳转至仿冒谷歌登录界面的 AiTM 钓鱼页面。
据悉,这些恶意页面托管在 Odoo 平台上,部分通过 Kartra 进行流量路由。尽管针对广告管理账户的类似攻击已有先例,但由于获利空间巨大,仍是威胁行为体的重点目标。
安全防护建议
由于AiTM技术能够绕过双因素认证保护,安全研究人员建议:
- 高价值账户所有者应使用硬件安全密钥(如 YubiKey);
- 输入凭据前仔细核实 URL 的合法性,警惕异常域名;
- 将登录弹窗拖动至浏览器边缘,验证其是否为独立窗口(伪造弹窗通常无法脱离父页面)。
消息来源:leepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容