Un elaborato e piuttosto insolito campagna di phishing sta falsificando le notifiche eFax e utilizzando un account aziendale Dynamics 365 Customer Voice compromesso per indurre le vittime a cedere le proprie credenziali tramite le pagine microsoft.com.
Gli attori delle minacce hanno colpito dozzine di aziende attraverso la campagna ampiamente diffusa, che è destinati a Microsoft 365 utenti provenienti da una vasta gamma di settori, tra cui energia, servizi finanziari, immobili commerciali, cibo, produzione e persino produzione di mobili, hanno rivelato i ricercatori del Cofense Phishing Defense Center (PDC) in un post sul blog pubblicato mercoledì.
La campagna utilizza una combinazione di tattiche comuni e insolite per indurre gli utenti a fare clic su una pagina che sembra indirizzarli a un sondaggio di feedback dei clienti per un servizio eFax, ma invece ruba le loro credenziali.
Gli aggressori impersonano non solo eFax ma anche Microsoft utilizzando i contenuti ospitati su più pagine microsoft.com in diverse fasi dell'operazione multistadio. La truffa è una delle numerose campagne di phishing che Cofense ha osservato dalla primavera che utilizzano una tattica simile, afferma Joseph Gallop, responsabile dell'analisi dell'intelligence presso Cofense.
"Nell'aprile di quest'anno, abbiamo iniziato a vedere un volume significativo di e-mail di phishing che utilizzavano collegamenti di sondaggi ncv[.]microsoft[.]com incorporati del tipo utilizzato in questa campagna", dice a Dark Reading.
Combinazione di tattiche
Le e-mail di phishing utilizzano un'esca convenzionale, affermando che il destinatario ha ricevuto un eFax aziendale di 10 pagine che richiede la sua attenzione. Ma dopo ciò le cose divergono dal sentiero battuto, ha spiegato Nathaniel Sagibanda di Cofense PDC nel Posta del mercoledì.
Molto probabilmente il destinatario aprirà il messaggio aspettandosi che sia correlato a un documento che richiede una firma. "Tuttavia, non è quello che vediamo mentre leggi il corpo del messaggio", ha scritto.
Invece, l'e-mail include quello che sembra un file PDF allegato e senza nome che è stato consegnato da un fax che include un file vero e proprio, una caratteristica insolita di un'e-mail di phishing, secondo Gallop.
"Mentre molte campagne di phishing delle credenziali utilizzano collegamenti a file ospitati e alcuni utilizzano allegati, è meno comune vedere un collegamento incorporato che si presenta come un allegato", ha scritto.
La trama si infittisce ulteriormente nel messaggio, che contiene un piè di pagina che indica che è stato un sito di sondaggi, come quelli utilizzati per fornire feedback ai clienti, a generare il messaggio, secondo il post.
Imitando un sondaggio tra i clienti
Quando gli utenti fanno clic sul collegamento, vengono indirizzati a un'imitazione convincente di una pagina della soluzione eFax resa da una pagina di Microsoft Dynamics 365 che è stata compromessa dagli aggressori, hanno affermato i ricercatori.
Questa pagina include un collegamento a un'altra pagina, che sembra portare a un sondaggio di Microsoft Customer Voice per fornire feedback sul servizio eFax, ma invece porta le vittime a una pagina di accesso Microsoft che esfiltra le loro credenziali.
Per migliorare ulteriormente la legittimità su questa pagina, l'autore della minaccia è arrivato al punto di incorporare un video delle soluzioni eFax per i dettagli del servizio contraffatti, istruendo l'utente a contattare "@eFaxdynamic365" per qualsiasi richiesta, hanno affermato i ricercatori.
Il pulsante "Invia" nella parte inferiore della pagina serve anche come ulteriore conferma che l'autore della minaccia ha utilizzato un vero modello di modulo di feedback Microsoft Customer Voice nella truffa, hanno aggiunto.
Gli aggressori hanno quindi modificato il modello con "informazioni eFax spurie per indurre il destinatario a fare clic sul collegamento", che porta a una falsa pagina di accesso Microsoft che invia le proprie credenziali a un URL esterno ospitato dagli aggressori, ha scritto Sagibanda.
Ingannare un occhio allenato
Mentre le campagne originali erano molto più semplici, includendo solo informazioni minime ospitate nel sondaggio Microsoft, la campagna di spoofing eFax va oltre per rafforzare la legittimità della campagna, afferma Gallop.
La sua combinazione di tattiche a più fasi e doppia rappresentazione può consentire ai messaggi di passare attraverso gateway di posta elettronica sicuri e ingannare anche gli utenti aziendali più esperti che sono stati addestrati a individuare le truffe di phishing, osserva.
"Solo gli utenti che continuano a controllare la barra degli URL in ogni fase dell'intero processo identificherebbero sicuramente questo come un tentativo di phishing", afferma Gallop.
Anzi, un sondaggio della società di sicurezza informatica Vade rilasciato anche mercoledì ha scoperto che rappresentazione del marchio continua a essere lo strumento principale utilizzato dai phisher per indurre le vittime a fare clic su e-mail dannose.
In effetti, gli aggressori hanno assunto il personaggio di Microsoft più spesso nelle campagne osservate nella prima metà del 2022, hanno scoperto i ricercatori, sebbene Facebook rimanga il marchio più impersonato nelle campagne di phishing osservate finora quest'anno.
Il gioco di phishing rimane forte
I ricercatori in questo momento non hanno identificato chi potrebbe esserci dietro la truffa, né i motivi specifici degli aggressori per rubare le credenziali, dice Gallop.
Il phishing nel complesso rimane uno dei modi più semplici e più utilizzati dagli autori delle minacce per compromettere le vittime, non solo per rubare le credenziali ma anche per diffondere software dannoso, poiché il malware trasmesso tramite e-mail è molto più facile da distribuire rispetto agli attacchi remoti, secondo il rapporto Vade .
In effetti, questo tipo di attacco ha visto aumenti mese su mese durante il secondo trimestre dell'anno e poi un altro aumento a giugno che ha riportato "le e-mail ai volumi allarmanti che non si vedevano da gennaio 2022", quando Vade ha visto oltre 100 e più milioni di email di phishing in distribuzione.
"La relativa facilità con cui gli hacker possono inviare attacchi informatici punitivi tramite e-mail rende l'e-mail uno dei principali vettori di attacco e una minaccia costante per le aziende e gli utenti finali", ha scritto Natalie Petitto di Vade nel rapporto. "Le e-mail di phishing impersonano i marchi di cui ti fidi di più, offrendo un'ampia rete di potenziali vittime e un mantello di legittimità per i phisher mascherati da marchi".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
