Besökare på flera välkända webbplatser utsattes nyligen för ett oväntat hot när falska Microsoft-inloggningsfönster började dyka upp på sidor kopplade till betrodda varumärken. Säkerhetsforskare spårade aktiviteten till en Polyfill-relaterad kompromettering som gjorde det möjligt för angripare att injicera nätfiskeinnehåll på legitima webbplatser, inklusive sidor som tillhör Toshiba och Muji.
Incidenten visar hur cyberkriminella fortsätter att utnyttja betrodd internetinfrastruktur för att stjäla inloggningsuppgifter. I stället för att skapa falska webbplatser från grunden placerade angriparna skadliga inloggningsfönster direkt på webbplatser som användarna redan kände igen och litade på.
Betrodda webbplatser blev distributionsplattformar
Forskarna upptäckte att de drabbade webbplatserna visade Microsoft-inloggningsfönster som var tillräckligt övertygande för att lura intet ont anande besökare. Fönstren hävdade att användare behövde logga in innan de kunde fortsätta, vilket skapade intrycket av att begäran kom från en legitim tjänst.
Eftersom inloggningsformulären visades på äkta webbplatser hade många besökare färre skäl att misstänka skadlig aktivitet. Detta ger angriparna en betydande fördel jämfört med traditionella nätfiskekampanjer som förlitar sig på misstänkta domäner eller dåligt utformade kopior av webbplatser.
Metoden förvandlar i praktiken betrodda webbplatser till tillfälliga nätfiskeplattformar utan att angriparna behöver skapa en egen webbnärvaro.
Attacken kopplas till Polyfill-infrastruktur
Utredare kopplade aktiviteten till Polyfill-relaterad infrastruktur som har varit föremål för säkerhetsoro under de senaste åren. Polyfill-tjänster utvecklades ursprungligen för att hjälpa webbplatser att stödja äldre webbläsare genom att leverera extra JavaScript-funktioner vid behov.
När webbplatser laddar kod från externa tjänster ärver de dock också riskerna som följer med dessa leverantörer. Om angripare får kontroll över den externa resursen kan de potentiellt distribuera skadlig kod till varje webbplats som är beroende av den.
Det verkar vara vad som hände i detta fall. I stället för att kompromettera enskilda webbplatser en i taget utnyttjade angriparna en gemensam resurs för att nå flera betrodda domäner samtidigt.
Microsoft-konton var huvudmålet
De falska inloggningsfönstren fokuserade på att samla in inloggningsuppgifter till Microsoft-konton. Dessa konton ger ofta åtkomst till e-post, molnlagring, samarbetsverktyg och affärsapplikationer, vilket gör dem mycket värdefulla för cyberkriminella.
En lyckad kompromettering kan öppna dörren för ytterligare attacker. Kriminella använder ofta stulna konton för att genomföra nätfiskekampanjer, få tillgång till känsliga dokument, röra sig vidare genom företagsnätverk eller genomföra ekonomiska bedrägerier.
Kampanjen visar varför stöld av inloggningsuppgifter fortfarande är ett av de vanligaste målen inom modern cyberbrottslighet. Tillgång till ett legitimt konto kan ofta vara mer värdefullt än själva skadlig programvara.
Leverantörskedjeattacker fortsätter att öka
Incidenten speglar en bredare trend som påverkar organisationer världen över. Cyberkriminella riktar sig allt oftare mot tredjepartstjänster, programvarukomponenter och delad infrastruktur eftersom ett enda intrång kan få betydligt större konsekvenser.
Moderna webbplatser är ofta beroende av många externa resurser, inklusive analysverktyg, annonsnätverk, innehållsleveranssystem och JavaScript-bibliotek. Varje ytterligare beroende skapar en ny potentiell angreppspunkt.
I takt med att organisationer fortsätter att expandera sina digitala ekosystem har övervakning av tredjepartskomponenter blivit lika viktigt som att skydda interna system.
Slutsats
Polyfill-nätfiskeattacken visar hur snabbt betrodda webbplatser kan förvandlas till verktyg för stöld av inloggningsuppgifter när externa tjänster komprometteras. Genom att visa falska Microsoft-inloggningar på legitima domäner ökade angriparna sannolikheten att besökare skulle lämna ifrån sig känslig information. Incidenten är ännu en påminnelse om att leverantörskedjeattacker fortsätter att vara en av de mest effektiva metoderna i cyberkriminellas verktygslåda och att organisationer noggrant måste utvärdera varje tredjepartstjänst som är kopplad till deras webbplatser.
0 svar till ”Polyfill-nätfiskeattack injicerar falska inloggningar på betrodda webbplatser”