查看原文
其他

Salesforce 邮件服务0day用于钓鱼攻击活动

THN 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Guardio Labs的研究员 Oleg Zaytsev 和 Nati Tal 发布报告提到,一起复杂的 Facebook 钓鱼攻击活动利用 Salesforce 邮件服务0day漏洞,通过该公司的域名和基础设施构造目标钓鱼信息。

研究人员提到,“显而易见,这些钓鱼活动通过组合利用 Salesforce 漏洞和 Facebook Web Games 平台中的遗留问题躲避检测方法。”

邮件信息假装源自 Meta,同时从域为 @salesforce.com 的邮件地址发送,目的是诱骗收件人点击链接,说辞是因为“怀疑参与假冒活动”,因此正在“全面调查”收件人的 Facebook 账号,目的就是将用户指向恶意登录页,而该页面的目的是捕获受害者的账号凭据和双因素认证码。该钓鱼包被托管为域名为 apps.facebook[.]com的 Facebook apps 平台下的游戏。

研究人员解释称,“难怪我们会看到这份邮件避开了传统的反垃圾邮件和反钓鱼机制。它包含facebook.com的合法链接,而且是从全球顶级CRM提供商之一、合法的邮件地址(@salesforce.com)发送的。”值得一提的是,Meta 在2020年7月弃用 Web Games 特性,尽管很有可能在弃用前开发了对遗留游戏的支持。

虽然通过 salesforce.com 发送邮件涉及验证步骤,但研究人员提到钓鱼攻击配置了使用 salesforce.com域的 Email-to-Case 站内路由邮件地址并将其设置为组织机构内的邮件地址,狡猾地绕过了这些防御措施。

研究人员指出,“它触发了验证流,将邮件发送到该路由地址,从而成为系统中的新任务。”这就导致只要点击添加受控地址请求所附加的链接,就能验证 salesforce.com 邮件地址。

他们还指出,“从此处开始能够制造任何类型的钓鱼方案,甚至通过这类邮件直接攻击 Salesforce 客户。而这最终到达受害者的收件箱,绕过反垃圾邮件和反钓鱼机制,甚至被谷歌标记为‘重要’。”

研究人员在2023年6月28日将问题告知 Salesforce 公司,后者在7月28日修复该0day,增加检查,阻止使用 @salesforce.com域的邮件地址。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Salesforce 社区可泄露业务敏感信息

默认数据库脚本部署提升 Salesforce 所有用户权限



原文链接

https://thehackernews.com/2023/08/phishers-exploit-salesforces-email.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存