Depositi di password di Bitwarden presi di mira nell'attacco di phishing degli annunci di Google
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 27 Gennaio 2023
Tags: #phishing, #sicurezza, #privacy, #GoogleAds
Tags: #phishing, #sicurezza, #privacy, #GoogleAds
Depositi di password di Bitwarden presi di mira nell'attacco di phishing degli annunci di Google
Bitwarden e altri gestori di password vengono presi di mira nelle campagne di phishing degli annunci di Google per rubare le credenziali di sicurezza delle password degli utenti.
Poiché l'azienda e i consumatori si spostano per utilizzare password univoche in ogni sito, è diventato essenziale utilizzare gestori di password per tenere traccia di tutte le password.
Tuttavia, a meno che non utilizzi un gestore di password locale, come KeePass, la maggior parte dei gestori di password sono basati su cloud, consentendo agli utenti di accedere alle proprie password tramite siti Web e app mobili.
Queste password vengono archiviate nel cloud in "depositi di password" che conservano i dati in un formato crittografato, solitamente crittografato utilizzando le password principali degli utenti.
Le recenti violazioni della sicurezza di LastPass e gli attacchi di credential stuffing di Norton hanno dimostrato che una password principale è un punto debole per un deposito di password.
Per questo motivo, gli attori delle minacce sono stati individuati creando pagine di phishing che prendono di mira le credenziali di accesso del tuo deposito password, potenzialmente cookie di autenticazione, poiché una volta che ottengono l'accesso a questi, hanno pieno accesso al tuo deposito.
Martedì, gli utenti di Bitwarden hanno iniziato a vedere un annuncio Google intitolato "Bitward - Password Manager" nei risultati di ricerca per "bitwarden password manager".
Sebbene BleepingComputer non sia stato in grado di replicare questo annuncio, è stato visto dagli utenti di Bitwarden su Reddit [1, 2] e sui forum di Bitwarden.
Il dominio utilizzato nell'annuncio era "appbitwarden.com" e, una volta cliccato, reindirizzava gli utenti al sito "bitwardenlogin.com".
La pagina su "bitwardenlogin.com" era una replica esatta della legittima pagina di accesso di Bitwarden Web Vault,
Nei nostri test, la pagina di phishing accetterà le credenziali e, una volta inviata, reindirizzerà gli utenti alla legittima pagina di accesso di Bitwarden.
Tuttavia, i nostri test iniziali hanno utilizzato credenziali false e la pagina è stata chiusa quando abbiamo iniziato a testare con le credenziali di accesso del test Bitwarden effettive.
Pertanto, non siamo stati in grado di vedere se la pagina di phishing tentasse anche di rubare cookie di sessione supportati da MFA (token di autenticazione) come molte pagine di phishing avanzate.
Mentre molte persone ritengono che l'URL fosse un chiaro indizio che si trattava di una pagina di phishing, altri non potevano dire se fosse falso o meno.
"Dannazione. In situazioni come questa come posso rilevare quello falso? Questo è davvero spaventoso", ha detto il poster di un argomento Reddit sulla pagina di phishing.
"La gente dice di guardare l'URL, forse è solo il mio minuscolo cervello ma non riesco a capire quale sia quello vero", ha commentato un altro utente sullo stesso post di Reddit.
A peggiorare le cose, non è solo Bitwarden a essere preso di mira da pagine di phishing dannose negli annunci Google.
Anche il ricercatore di sicurezza MalwareHunterTeam ha recentemente trovato annunci Google mirati alle credenziali per il gestore di password 1Password.
BleepingComputer non è stato in grado di trovare altri annunci indirizzati ad altri gestori di password, ma ultimamente gli annunci nei risultati di ricerca di Google sono diventati un enorme problema di sicurezza informatica.
Recenti ricerche hanno dimostrato che gli attori delle minacce utilizzano gli annunci Google per alimentare le loro campagne di distribuzione di malware per l'accesso iniziale alle reti aziendali, per rubare credenziali e per attacchi di phishing.
Proteggi i tuoi depositi di password
Con i depositi di password che contengono alcuni dei tuoi dati online più preziosi, è importante proteggerli adeguatamente.
Quando si tratta di proteggere i depositi di password dagli attacchi di phishing, la prima linea di difesa è sempre quella di confermare che si stanno inserendo le credenziali nel sito Web corretto.
Tuttavia, nel caso in cui tu inserisca erroneamente le tue credenziali su un sito di phishing, dovresti sempre configurare l'autenticazione a più fattori con il tuo gestore di password.
I migliori metodi di verifica MFA da utilizzare quando proteggi il tuo account, dal migliore al peggiore, sono le chiavi di sicurezza hardware (migliori ma più ingombranti), un'app di autenticazione (buona e più facile da usare) e la verifica SMS (può essere dirottata negli attacchi di scambio sim ).
Sfortunatamente, anche con la protezione MFA, i tuoi account possono comunque essere vulnerabili agli attacchi di phishing avanzati Adversary-in-the-middle (AiTM).
Gli attacchi di phishing AiTM si verificano quando gli attori delle minacce utilizzano toolkit specializzati come Evilginx2, Modlishka e Muraena per creare pagine di destinazione di phishing che inviano proxy a moduli di accesso legittimi a un servizio mirato.
Utilizzando questo metodo, i visitatori della pagina di phishing vedranno il modulo di accesso di un servizio legittimo, come Microsoft 365. Quando immettono le proprie credenziali e i codici di verifica MFA, queste informazioni vengono inoltrate anche al sito effettivo.
Tuttavia, una volta che un utente effettua l'accesso e il sito legittimo invia il cookie di sessione supportato da MFA, il toolkit di phishing può rubare questi token per un uso successivo.
Il flusso di un attacco di phishing AiTM
Il flusso di un attacco di phishing AiTM
Fonte: BleepingComputer
Poiché questi token sono già stati verificati tramite MFA, consentono agli attori delle minacce di accedere al tuo account senza verificare nuovamente MFA.
Microsoft ha avvertito a luglio che questo tipo di attacco è stato utilizzato per aggirare l'autenticazione a più fattori per 10.000 organizzazioni.
Sfortunatamente, questo ci riporta alla prima linea di difesa: assicurati di inserire le tue credenziali solo su un sito Web o un'app mobile legittimi.
