La campagna di phishing utilizza Google Cloud Services per rubare gli accessi a Office 365

La campagna di phishing utilizza Google Cloud Services per rubare gli accessi a Office 365

I truffatori che cercano di raccogliere i dettagli di accesso si rivolgono sempre più ai servizi cloud pubblici per ospitare documenti di esca e pagine di phishing, rendendo più difficile il rilevamento dell'attacco.

La tendenza ha preso piede tra i criminali informatici, che si affidano a più servizi cloud per ospitare le pagine di destinazione del phishing e i documenti dell'esca che li reindirizzano.

Tattiche subdole

In una campagna di quest'anno, i truffatori hanno creato uno scenario intelligente che coinvolge molteplici elementi legittimi per nascondere il furto delle credenziali di Office 365.

I ricercatori di Check Point descrivono oggi in un rapporto che gli aggressori si sono affidati a Google Drive per ospitare un documento PDF dannoso e "storage.googleapis [.] Com" di Google per ospitare la pagina di phishing.

I servizi cloud di Google non sono i soli ad essere abusati in questo modo. BleepingComputer ha analizzato una  recente campagna di phishing  che ha utilizzato Microsoft Azure, Microsoft Dynamics e IBM Cloud.

Il PDF individuato da Check Point è stato creato come un gateway per i contenuti disponibili tramite la piattaforma collaborativa basata su Web di SharePoint.

Una volta che la potenziale vittima prende l'esca e segue il link Documento di accesso, la pagina di phishing ospitata in Google Cloud Platform viene caricata chiedendo di accedere utilizzando le credenziali di Office 365 o l'ID di un'organizzazione.

Indipendentemente dall'opzione selezionata, viene avviata una finestra pop-up di accesso di Outlook per completare la presunta procedura di accesso e fornire l'accesso al documento richiesto.

Check Point sottolinea che è improbabile che le vittime individuino la truffa poiché le pagine si caricano da fonti legittime e alla fine del processo viene consegnato un documento PDF autentico da un'azienda rispettabile.

Guardando il codice sorgente, tuttavia, emerge che le risorse per le landing page sono caricate da una posizione di terze parti, "prvtsmtp [.] Com."

Mentre questo trucco lascia ancora la porta aperta per il rilevamento, uno più recente osservato negli attacchi recenti può lasciare le vittime all'oscuro dell'attacco di phishing.

Secondo i ricercatori, gli aggressori hanno iniziato a utilizzare il servizio Google Cloud Functions, che consente l'esecuzione di codice nel cloud. Questa tattica consente di caricare le risorse per la pagina di phishing senza rivelare il dominio dell'attaccante.

"L'analisi di prvtsmtp [.] Com ha dimostrato che si è risolto in un indirizzo IP ucraino (31.28.168 [.] 4). Molti altri domini correlati a questo attacco di phishing si sono risolti con lo stesso indirizzo IP o con diversi sullo stesso netblock”- Check Point

Questo dettaglio consente ai ricercatori di tracciare l'attività di questo particolare aggressore fino al 2018 quando hanno ospitato le pagine di phishing direttamente su un sito Web dannoso. Successivamente, sono passati ad Archiviazione di Azure prima di passare a Google Cloud.

L'uso di tre note soluzioni aziendali come IBM Cloud hosting, Microsoft Azure e Microsoft Dynamics per ospitare le pagine di destinazione del phishing aggiunge legittimità alla campagna.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.