Gli specialisti di Check Point Research con il supporto congiunto del team di sicurezza informatica Otorio hanno analizzato una estesa campagna di phishing che ha preso di mira migliaia di organizzazioni a livello globale.
Dal report, che rileva la catena d’infezione e le modalità di distribuzione delle eMail, emerge che una grossolana negligenza dei criminal hacker ha portato ad esporre pubblicamente in rete le credenziali rubate. Con una semplice ricerca Google, anche qualsiasi attaccante concorrente avrebbe potuto trovarle e farle proprie.
La campagna di phishing
Con una campagna di phishing avviata ad agosto i cyber criminali, tramite e-mail mascherate da notifiche che invitavano ad aprire un allegato HTML, sono riusciti a rubare oltre mille credenziali aziendali, riuscendo a eludere i filtri di Microsoft Office 365 ATP (Advanced Threat Protection).
Spesso gli attaccanti preferiscono utilizzare dei server compromessi invece di una propria infrastruttura, puntando sul fatto che maggiore è la reputazione riconosciuta di un sito, maggiore sarà la probabilità che le e-mail a esso afferenti, anche in modo fraudolento, non vengano bloccate dai controlli di sicurezza.
Pure in questo caso, gli attaccanti non hanno utilizzato un’infrastruttura proprietaria ad hoc ma un insieme di siti Web “WordPress” compromessi e utilizzati come server di zona per gli attacchi di phishing.
In merito, l’analisi condotta ha scoperto dozzine di server di questo tipo e residenti su domini “.XYZ” ospitanti pagine PHP malevole:
- Alcune pagine PHP rilevate: “go.php”, “post.php”, “gate.php”, “rent.php”, “rest.php”;
- Alcuni domini .XYZ rilevati: itsthebestasajob[.]xyz, manonwork[.]xyz weworkhard[.]xyz workingoni[.]xyz
La catena d’infezione e la distribuzione dei target
La catena d’attacco inizia con l’invio di diversi modelli di e-mail, imitando una notifica da parte di Xerox/Xeros Scanner, indirizzati a vari target con un allegato HTML.
Tale file se aperto può visualizzare dei popup, con intestazioni e-mail precompilate, su uno sfondo immagine sfocato raffigurante un documento.
Una revisione della pagina HTML ha rilevato la presenza di tag javascript riferiti a codice eseguito in background per l’esfiltrazione dei dati digitati e il reindirizzamento dell’utente a una pagina di accesso “Office 365” legittima.
L’analisi delle intestazioni delle e-mail campionate ha inoltre evidenziato che i messaggi di posta elettronica risulterebbero inviati da server Linux/Microsoft Azure tramite componenti mailer PHP o server di posta probabilmente compromessi.
Il meccanismo allestito però presenterebbe, secondo i ricercatori, una grossolana noncuranza:
le informazioni carpite e inviate ai server di zona erano salvate in un file indicizzato da Google e pertanto visibile pubblicamente.
Tale disponibilità ha permesso ai ricercatori di fare una ripartizione dei target per settore basata su di un sottoinsieme dei dati reperiti. I risultati pur evidenziando un’ampia distribuzione delle varie categorie colpite hanno mostrato una particolare incidenza d’attacco sull’industria edilizia (16.7%) e energetica (10.7%).
Conclusioni
Per proteggersi da queste tipologie di minacce che principalmente fanno leva sul fattore umano, a prescindere dall’impiego o meno di strumenti di sicurezza antivirus occorre sempre diffidare di qualsiasi e-mail o comunicazione che invita ad aprire link o allegati improbabili, anche se proveniente da una fonte nota o familiare e prestare la massima attenzione ai nomi dei domini simili/sconosciuti e mittenti di posta elettronica ignoti.