Έχει εντοπιστεί μια εξελιγμένη επίθεση phishing μέσω Facebook που εκμεταλλεύεται μια ευπάθεια zero-day στις υπηρεσίες email της Salesforce, επιτρέποντας σε απειλητικούς παράγοντες να δημιουργήσουν στοχευμένα μηνύματα απάτης χρησιμοποιώντας το domain και την υποδομή της εταιρείας.

Δείτε επίσης: Facebook: Ξεπέρασε τους 3 δισεκατομμύρια ενεργούς χρήστες μηνιαίως

Email υποκρίνονται ότι προέρχονται από τη Meta, ενώ στην πραγματικότητα αποστέλλονται από μια διεύθυνση email με domain “@salesforce.com”. Προσπαθούν να εξαπατήσουν τους παραλήπτες να κάνουν κλικ σε έναν σύνδεσμο, ισχυριζόμενοι ότι οι λογαριασμοί τους στο Facebook υφίστανται μια “ολοκληρωμένη έρευνα” λόγω “ύποπτων δραστηριοτήτων παραπληροφόρησης”.

Ο στόχος είναι να κατευθυνθούν οι χρήστες σε μια παραπλανητική σελίδα landing, η οποία σχεδιάστηκε για να αποκτήσει τα account credentials και τους κωδικούς πιστοποίησης δύο παραγόντων (2FA) του θύματος. Αυτό που καθιστά την επίθεση επίκαιρη είναι ότι το phishing kit φιλοξενείται ως παιχνίδι υπό την πλατφόρμα εφαρμογών του Facebook χρησιμοποιώντας το domain apps.facebook[.]com.

Αξίζει να αναφέρουμε ότι η Meta απέσυρε τη δυνατότητα Web Games τον Ιούλιο του 2020, αν και είναι δυνατόν να διατηρήσετε

την υποστήριξη για παλιά παιχνίδια που αναπτύχθηκαν πριν από την κατάργησή του.

Κατά την αποστολή ηλεκτρονικών μηνυμάτων χρησιμοποιώντας το salesforce.com, απαιτείται ένα βήμα επικύρωσης. Η εταιρεία Guardio Labs ανέφερε ότι η συγκεκριμένη διαδικασία παρακάμπτει επιδέξια αυτά τα προστατευτικά μέτρα, διαμορφώνοντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου εισερχομένων Email-to-Case που χρησιμοποιεί το domain του salesforce.com και την ρυθμίζει ως την οργανωσιακή διεύθυνση ηλεκτρονικού ταχυδρομείου.

Δείτε επίσης: NodeStealer 2.0 infostealer: Στοχεύει Facebook business accounts

Μετά την υπεύθυνη αποκάλυψη στις 28 Ιουνίου 2023, η Salesforce αντιμετώπισε το zero-day με νέους ελέγχους που αποτρέπουν τη χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου από το domain @salesforce.com.

Η εξέλιξη έρχεται ενώ η Cofense προειδοποίησε για αυξημένη δραστηριότητα phishing που χρησιμοποιεί URLs του Google Accelerated Mobile Pages (AMP) για να παρακάμψει τους ελέγχους ασφαλείας και να πραγματοποιήσει κλοπή credential.

Πηγή πληροφοριών: thehackernews.com