Cover Image

Campagna di phishing destinata a Office 365

18 Giugno 2020 - Tempo di lettura: 7 minuti

Gli aggressori utilizzano entità fidate per indurre le vittime a rinunciare ai dettagli di accesso dell'azienda e per aggirare le protezioni di sicurezza.

I ricercatori hanno scoperto una nuova sofisticata campagna di phishing che utilizza marchi riconosciuti per aggirare i filtri di sicurezza e indurre le vittime a rinunciare alle credenziali di Microsoft Office 365 per ottenere l'accesso alle reti aziendali.

Un nuovo rapporto di Check Point Software haosservato per la prima volta gli attacchi - la maggior parte dei quali ha preso di mira aziende europee, con altri visti in Asia e Medio Oriente - ad aprile, quando hanno scoperto e-mail inviate alle vittime intitolate "Office 365 Voice Mail".

Le e-mail hanno cercato di attirare le vittime facendo clic su un pulsante che le avrebbe portate sul loro account Office 365 per recuperare un messaggio vocale in attesa nel loro portale vocale, hanno detto. Se le vittime hanno preso l'esca, sono state reindirizzate a quella che sembrava essere la pagina di accesso di Office 365 ma che in realtà era una pagina di phishing, hanno detto i ricercatori.

Inizialmente gli attacchi sembravano essere "la classica campagna di phishing di Office 365", ha dichiarato il responsabile del Check Point dell'intelligence sulle minacce Lotem Finkelsteen. Tuttavia, quando i ricercatori hanno sbirciato sotto il cofano, hanno trovato più di una "strategia capolavoro" che sfrutta "marchi noti e affidabili per sfuggire ai prodotti di sicurezza sulla strada per le vittime", ha detto.

"Al giorno d'oggi, questa è una delle migliori tecniche per stabilire un punto d'appoggio all'interno di una rete aziendale", ha detto Finkelsteen. "L'accesso alla posta aziendale può consentire agli hacker un accesso illimitato alle operazioni di un'azienda, come transazioni, rapporti finanziari, invio di e-mail all'interno dell'azienda da una fonte affidabile, password e persino indirizzi delle risorse cloud di un'azienda",

Non è un'impresa semplice tirare questo tipo di attacco, tuttavia. Il livello di sofisticazione ha richiesto a coloro che sono alla base della campagna di accedere inosservati ai server Samsung e dell'Università di Oxford, il che a sua volta richiede una profonda comprensione di come funzionano, ha aggiunto.

Nella campagna, i ricercatori hanno osservato che gli hacker utilizzano un dominio Samsung ospitato su un server Adobe che è stato lasciato inutilizzato dall'evento Cyber ​​Monday del 2018 in una tecnica chiamata "reindirizzamenti aperti", permettendosi "la facciata di un dominio Samsung legittimo per ingannare con successo le vittime", i ricercatori hanno detto.

Il metodo è fondamentalmente un URL su un sito Web che può essere utilizzato da chiunque per reindirizzare gli utenti a un altro sito, aggiungendo legittimità agli URL utilizzati nelle e-mail dannose. In questo caso, i collegamenti nell'e-mail reindirizzati al server Adobe usato in precedenza, rendendo il collegamento utilizzato nell'e-mail di phishing "parte del dominio Samsung attendibile - uno che reindirizza inconsapevolmente le vittime a un sito Web ospitato dagli hacker", hanno detto i ricercatori nel rapporto.

"Utilizzando lo specifico formato di collegamento di Adobe Campaign e il dominio legittimo, gli aggressori hanno aumentato le possibilità che l'e-mail ignori le soluzioni di sicurezza e-mail basate su reputazione, liste nere e modelli di URL", hanno scritto.

Altre campagne osservate nell'ultimo anno mostrano anche che gli hacker che utilizzano Google e Adobe reindirizzano nelle campagne di phishing per aggiungere legittimità agli URL utilizzati nelle e-mail di spam, hanno aggiunto.

Le e-mail stesse usavano anche un marchio riconosciuto per eludere le protezioni di sicurezza; originarono principalmente a molteplici indirizzi generati appartenenti a sottodomini legittimi di diversi dipartimenti dell'Università di Oxford, secondo il rapporto. Ciò dimostra che gli hacker hanno in qualche modo trovato il modo di abusare di uno dei server SMTP (Simple Mail Transfer Protocol) di Oxford per superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente, hanno scritto i ricercatori.

Check Point ha dichiarato di aver informato Oxford University, Adobe e Samsung delle sue scoperte in modo che possano intraprendere le azioni appropriate.

intopic.it