Besøkende på flere kjente nettsteder ble nylig utsatt for en uventet trussel da falske Microsoft-innloggingsvinduer begynte å dukke opp på sider tilknyttet pålitelige merkevarer. Sikkerhetsforskere sporet aktiviteten til en Polyfill-relatert kompromittering som gjorde det mulig for angripere å injisere phishinginnhold på legitime nettsteder, inkludert sider tilknyttet Toshiba og Muji.
Hendelsen viser hvordan cyberkriminelle fortsetter å utnytte pålitelig nettinfrastruktur for å stjele innloggingsopplysninger. I stedet for å opprette falske nettsteder fra bunnen av plasserte angriperne skadelige innloggingsvinduer direkte på nettsteder som brukerne allerede kjente til og stolte på.
Pålitelige nettsteder ble brukt som distribusjonsplattformer
Forskerne oppdaget at de berørte nettstedene viste Microsoft-innloggingsvinduer som var overbevisende nok til å lure intetanende besøkende. Vinduene hevdet at brukerne måtte logge inn før de kunne fortsette, noe som skapte inntrykk av at forespørselen kom fra en legitim tjeneste.
Fordi innloggingsskjemaene ble vist på ekte nettsteder, hadde mange besøkende færre grunner til å mistenke ondsinnet aktivitet. Denne metoden gir angriperne en betydelig fordel sammenlignet med tradisjonelle phishingkampanjer som er avhengige av mistenkelige domener eller dårlig utformede kopier av nettsteder.
Teknikken gjør i praksis pålitelige nettsteder om til midlertidige phishingplattformer uten at angriperne trenger å etablere sin egen nettilstedeværelse.
Angrepet knyttes til Polyfill-infrastruktur
Etterforskerne koblet aktiviteten til Polyfill-relatert infrastruktur som har vært gjenstand for sikkerhetsbekymringer de siste årene. Polyfill-tjenester ble opprinnelig utviklet for å hjelpe nettsteder med å støtte eldre nettlesere ved å levere ekstra JavaScript-funksjonalitet ved behov.
Når nettsteder laster inn kode fra eksterne tjenester, overtar de imidlertid også risikoen som følger med disse leverandørene. Hvis angripere får kontroll over den eksterne ressursen, kan de potensielt distribuere skadelig kode til alle nettsteder som er avhengige av den.
Det ser ut til å være det som skjedde i dette tilfellet. I stedet for å kompromittere nettsteder ett etter ett, utnyttet angriperne en delt ressurs for å nå flere pålitelige domener samtidig.
Microsoft-kontoer var hovedmålet
De falske innloggingsvinduene var utformet for å samle inn Microsoft-kontolegitimasjon. Disse kontoene gir ofte tilgang til e-post, skylagring, samarbeidsverktøy og forretningsapplikasjoner, noe som gjør dem svært verdifulle for cyberkriminelle.
En vellykket kompromittering kan åpne døren for ytterligere angrep. Kriminelle bruker ofte stjålne kontoer til å gjennomføre phishingkampanjer, få tilgang til sensitive dokumenter, bevege seg videre gjennom bedriftsnettverk eller utføre økonomisk svindel.
Kampanjen viser hvorfor tyveri av innloggingsopplysninger fortsatt er et av de vanligste målene innen moderne cyberkriminalitet. Tilgang til en legitim konto kan ofte være mer verdifull enn skadevare i seg selv.
Leverandørkjedeangrep fortsetter å vokse
Hendelsen gjenspeiler en bredere trend som påvirker organisasjoner over hele verden. Cyberkriminelle retter seg i økende grad mot tredjepartstjenester, programvarekomponenter og delt infrastruktur fordi ett enkelt kompromiss kan få langt større konsekvenser.
Moderne nettsteder er ofte avhengige av en rekke eksterne ressurser, inkludert analyseverktøy, annonsenettverk, innholdsleveringssystemer og JavaScript-biblioteker. Hver ekstra avhengighet skaper et nytt potensielt inngangspunkt for angripere.
Etter hvert som organisasjoner utvider sine digitale økosystemer, har overvåking av tredjepartskomponenter blitt like viktig som å sikre interne systemer.
Konklusjon
Polyfill-phishingangrepet viser hvor raskt pålitelige nettsteder kan bli verktøy for tyveri av innloggingsopplysninger når eksterne tjenester kompromitteres. Ved å vise falske Microsoft-innlogginger på legitime domener økte angriperne sannsynligheten for at besøkende ville oppgi sensitiv informasjon. Hendelsen er nok en påminnelse om at leverandørkjedeangrep fortsatt er blant de mest effektive metodene i cyberkriminelles verktøykasse, og at organisasjoner nøye må vurdere alle tredjepartstjenester som er koblet til deres nettsteder.
0 responses to “Polyfill-phishingangrep injiserer falske innlogginger på betrodde nettsteder”