Los atacantes están explotando un bien conocido defecto de redireccionamiento abierto para suplantar las credenciales de las personas y la información de identificación personal (PII) utilizando los dominios de American Express y Snapchat, según descubrieron los investigadores.

Actores de amenazas suplantados Microsoft y FedEx entre otras marcas en dos campañas diferentes, que los investigadores de INKY observaron desde mediados de mayo hasta finales de julio, dijeron en un blog Publicado en línea. Los atacantes aprovecharon las vulnerabilidades de redirección que afectaban a los dominios de American Express y Snapchat, el primero de los cuales finalmente fue parcheado mientras que el segundo aún no, dijeron los investigadores. Abrir redirección es una vulnerabilidad de seguridad que ocurre cuando un sitio web no valida la entrada del usuario, lo que permite que los malos actores manipulen las URL de los dominios de entidades legítimas con buena reputación para redirigir a las víctimas a sitios maliciosos, dijeron los investigadores. La vulnerabilidad es bien conocida y rastreada como CWE-601: Redirección de URL a un sitio que no es de confianza ("Abrir redirección").

“Dado que el primer nombre de dominio en el enlace manipulado es, de hecho, el del sitio original, el enlace puede parecer seguro para el observador casual”, explicó Roger Kay de INKY en la publicación.

Un ejemplo de dominio de redireccionamiento malicioso es: http[://]seguro[.]com/redirect?[url=http:]//malicious[.]com. Entonces, el dominio de confianza, en este caso, American Express o Snapchat, se usa como una página de destino temporal antes de que la víctima de la campaña sea redirigida a un sitio malicioso.

Durante el período de dos meses y medio durante el cual se observaron las campañas, los investigadores detectaron la vulnerabilidad de redirección abierta de snapchat[.]com en 6,812 correos electrónicos de phishing que se originaron en varias cuentas secuestradas, dijeron. Mientras tanto, durante solo dos días a fines de julio, observaron la vulnerabilidad de redirección abierta de americanexpress[.]com en 2,029 correos electrónicos de phishing que se originaron en dominios recién creados.

Similitudes de ataque

Ambas campañas comenzaron con correos phishing usando tácticas típicas de ingeniería social para tratar de engañar a los usuarios para que hagan clic en enlaces o archivos adjuntos maliciosos, dijeron los investigadores.

Las dos campañas también utilizaron exploits en los que los atacantes insertaron PII en la URL aparentemente legítima para que las páginas de destino maliciosas pudieran personalizarse sobre la marcha para las víctimas individuales, dijeron.

“Esta inserción se disfrazó convirtiéndola en Base 64 para que parezca un montón de personajes aleatorios”, escribió Kay. "Insertamos nuestros propios caracteres aleatorios en estas cadenas para que el observador casual no pueda aplicar ingeniería inversa a las cadenas de PII".

Al ser redirigidos a otro sitio, las víctimas pensarían que el enlace se dirigía a un lugar seguro; sin embargo, sin que ellos lo supieran, los dominios a los que estaban siendo redirigidos eran sitios maliciosos para recolectar sus credenciales o exponerlas a malware, dijeron los investigadores.

Características específicas de la campaña

Aunque hubo similitudes entre las dos campañas, también hubo tácticas específicas para cada una, dijeron los investigadores.

Los correos electrónicos de phishing en el grupo de redireccionamiento abierto de Snapchat se hicieron pasar por DocuSign, FedEx y Microsoft, y todos tenían redireccionamientos abiertos de Snapchat que conducían a los sitios de recolección de credenciales de Microsoft, dijeron los investigadores.

La vulnerabilidad de redirección abierta en el dominio de Snapchat se corrigió en el momento de la campaña y sigue siéndolo, aunque Open Bug Bounty reportaron a la compañía el 4 de agosto de 2021, anotó Kay.

El error de redirección abierta en el dominio de American Express también apareció sin parche al principio, dijo. Cuando comenzó la campaña de phishing que lo usó, el enlace de redirección abierto fue a los sitios de recolección de credenciales de Microsoft, observaron los investigadores. Sin embargo, poco después, American Express corrigió la vulnerabilidad, dijo Kay.

“Ahora, los usuarios que hacen clic en el enlace terminan en una página de error real de American Express”, escribió.

Mitigación y prevención simples

Más allá de reparar fallas de redirección abierta en sus dominios, los propietarios de sitios web generalmente no le dan a estas vulnerabilidades la atención que merecen, probablemente “porque no permiten que los atacantes dañen o roben datos del sitio”, señaló Kay.

“Desde la perspectiva del operador del sitio web, el único daño que potencialmente ocurre es el daño a la reputación del sitio”, escribió.

Si a los propietarios de los dominios les interesa mitigar los ataques mediante el redireccionamiento abierto, pueden seguir algunos pasos simples, señaló Kay. Uno es bastante obvio: evite la implementación de la redirección en la arquitectura del sitio por completo, dijo. Sin embargo, si es necesario por razones comerciales, los propietarios de dominios pueden implementar una lista de permitidos de enlaces seguros aprobados para mitigar el abuso de redirección abierta.

Los propietarios de dominios también pueden presentar a los usuarios un descargo de responsabilidad de redirección externa que requiere que el usuario haga clic antes de redirigir a sitios externos, agregó Kay.

Como son las víctimas de estas campañas las verdaderas perdedoras, con el potencial de perder credenciales, datos y posiblemente incluso dinero, también deberían tomar algunas medidas para protegerse, dijo.

Al examinar los enlaces mientras navegan por los sitios en línea, las personas deben estar atentas a las URL que incluyen, por ejemplo, "url =", "redireccionar =", "enlace externo" o "proxy". Estas cadenas podrían indicar que un dominio de confianza podría redirigir a otro sitio, señaló Kay.

Los destinatarios de los correos electrónicos con enlaces también deben revisarlos en busca de múltiples apariciones de "http" en la URL, otra posible indicación de redirección, dijo.