聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员提到,“显而易见,这些钓鱼活动通过组合利用 Salesforce 漏洞和 Facebook Web Games 平台中的遗留问题躲避检测方法。”
邮件信息假装源自 Meta,同时从域为 @salesforce.com 的邮件地址发送,目的是诱骗收件人点击链接,说辞是因为“怀疑参与假冒活动”,因此正在“全面调查”收件人的 Facebook 账号,目的就是将用户指向恶意登录页,而该页面的目的是捕获受害者的账号凭据和双因素认证码。该钓鱼包被托管为域名为 apps.facebook[.]com的 Facebook apps 平台下的游戏。
研究人员解释称,“难怪我们会看到这份邮件避开了传统的反垃圾邮件和反钓鱼机制。它包含facebook.com的合法链接,而且是从全球顶级CRM提供商之一、合法的邮件地址(@salesforce.com)发送的。”值得一提的是,Meta 在2020年7月弃用 Web Games 特性,尽管很有可能在弃用前开发了对遗留游戏的支持。
虽然通过 salesforce.com 发送邮件涉及验证步骤,但研究人员提到钓鱼攻击配置了使用 salesforce.com域的 Email-to-Case 站内路由邮件地址并将其设置为组织机构内的邮件地址,狡猾地绕过了这些防御措施。
研究人员指出,“它触发了验证流,将邮件发送到该路由地址,从而成为系统中的新任务。”这就导致只要点击添加受控地址请求所附加的链接,就能验证 salesforce.com 邮件地址。
他们还指出,“从此处开始能够制造任何类型的钓鱼方案,甚至通过这类邮件直接攻击 Salesforce 客户。而这最终到达受害者的收件箱,绕过反垃圾邮件和反钓鱼机制,甚至被谷歌标记为‘重要’。”
研究人员在2023年6月28日将问题告知 Salesforce 公司,后者在7月28日修复该0day,增加检查,阻止使用 @salesforce.com域的邮件地址。
https://thehackernews.com/2023/08/phishers-exploit-salesforces-email.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Salesforce 邮件服务0day用于钓鱼攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论