Los investigadores de RiskIQ dijeron que el nuevo kit de phishing LogoKit se detectó en más de 700 dominios únicos solo en el último mes y en 300 en la última semana. Peor aún, esta herramienta permite a los piratas informáticos modificar logotipos y texto en páginas de phishing en tiempo real. De esta forma LogoKit es capaz de adaptar sitios para propósitos específicos.

LogoKit se basa en el envío de enlaces de phishing a los usuarios que contienen sus direcciones de correo electrónico. Y tan pronto como la víctima accede a dicha URL, LogoKit extrae el logotipo de la empresa de un servicio de terceros, por ejemplo, Clearbit o de la base de datos de favicon de Google.

LogoKit: herramienta para hackers

Un ejemplo de la web creada con LogoKit

“La dirección de correo electrónico de la víctima también se sustituye automáticamente en el campo de correo electrónico o nombre de usuario. Así los usuarios tienen más confianza pensando que visitan un sitio que visitaron antes.”, escriben los expertos. “Si la víctima ingresa su contraseña, LogoKit realiza una solicitud AJAX, envía su dirección de correo electrónico y contraseña a una fuente externa. Finalmente redirige al usuario a un sitio corporativo [legítimo]”.

El malware logra todo esto a través de un conjunto de funciones de JavaScript. Se pueden integrar en cualquier formulario de inicio de sesión estándar o documentos HTML complejos. Esta es la principal diferencia entre LogoKit y otros kits de phishing. La mayoría de ellos requieren plantillas con precisión de píxeles que imitan las páginas de autenticación específicas de la empresa.

Los analistas señalan que la modularidad permite a los operadores de LogoKit organizar ataques a cualquier empresa, gastando un mínimo de tiempo y esfuerzo. Por ejemplo, durante el último mes, LogoKit se ha utilizado para crear páginas de inicio de sesión falsas que imitan una variedad de servicios. Desde portales de inicio de sesión normales hasta páginas de inicio de sesión falsas para SharePoint, Adobe Document Cloud, OneDrive, Office 365 y varios intercambios de criptomonedas.

Dado que el kit de phishing LogoKit es muy pequeño y compacto, prácticamente no requiere una configuración compleja del servidor. Por lo tanto, el kit se puede colocar en sitios web pirateados o páginas reales de empresas dirigidas por operadores de malware. Dado que LogoKit es solo una colección de archivos JavaScript, sus recursos incluso se pueden alojar en Firebase, GitHub, Oracle Cloud, etc. La mayoría de ellos están incluidos en la lista blanca en entornos corporativos. Pueden parecer inofensivos tanto para las soluciones de seguridad como para los usuarios.

Portada: Tecno Geek