Las vulnerabilidades de redirección abierta que afectan a los sitios web de American Express y Snapchat fueron explotadas a principios de este año como parte de las campañas de phishing dirigidas a los usuarios de Microsoft 365, informa la empresa de seguridad de correo electrónico, Inky.
Los fallos de redirección abierta existen porque el sitio web afectado no valida la entrada del usuario, lo que permite a los actores de la amenaza manipular las URL para redirigir a los usuarios a sitios maliciosos.
Como el enlace manipulado contiene un nombre de dominio legítimo, el usuario podría considerar que el enlace es seguro. Sin embargo, el dominio de confianza sólo se utiliza como página de destino.
Desde mediados de mayo hasta finales de julio, Inky observó unos 7.000 correos electrónicos de phishing que se originaban en varias cuentas secuestradas y que intentaban explotar la redirección abierta en snapchat[.]com.
En el transcurso de dos días a finales de julio, unos 2.000 correos electrónicos de phishing intentaron aprovechar la vulnerabilidad de la redirección abierta de americanexpress[.]com.
«Tanto en el caso de Snapchat como en el de American Express, los hackers insertaron información personal identificable (PII) en la URL para que las páginas de destino maliciosas pudieran ser personalizadas sobre la marcha para las víctimas individuales», dice Inky.
En ambos casos, los atacantes codificaron las inserciones para que parecieran caracteres aleatorios y evitar que las víctimas pudieran hacer ingeniería inversa de las cadenas de PII.
Los correos electrónicos de phishing de la campaña de Snapchat se hacían pasar por DocuSign, FedEx y Microsoft, pero todos estaban diseñados para redirigir a las víctimas a sitios web destinados a recoger las credenciales de los usuarios de Microsoft 365.
La vulnerabilidad de la redirección abierta fue reportada a Snapchat el 4 de agosto de 2021, pero ha permanecido sin parchear.
Como parte de la campaña de American Express, se utilizaron dominios recién creados para enviar correos electrónicos de phishing que redirigían a las víctimas a sitios de recolección de credenciales de Microsoft. La vulnerabilidad fue parcheada rápidamente y los enlaces de phishing ya no funcionan.