I ricercatori Microsoft hanno rilevato una nuova campagna di phishing che sfrutta i collegamenti di reindirizzamento aperti (reindirizzamenti aperti) nelle e-mail nel tentativo di aggirare il software di sicurezza e indurre gli utenti a visitare pagine dannose.
Correlata: Microsoft e Google's Cloud Infrastructure Abused by Hackers in Phishing Emails
Collegamenti di editor aperti combinati con l'ingegneria sociale
L'attacco si basa sulla combinazione di collegamenti di reindirizzamento aperti e trucchi di ingegneria sociale che impersonano strumenti di produttività popolari per indurre gli utenti a fare clic. Una volta che un utente fa clic su detto collegamento, si verificano una serie di reindirizzamenti, inclusa una pagina di verifica CAPTCHA. Lo scopo di questa pagina è aggiungere "un senso di legittimità" ed eludere l'analisi automatizzata, e infine conducendo l'utente a una pagina di accesso falsa. L'obiettivo finale è chiaro: il compromesso delle credenziali. Poco detto, le credenziali raccolte possono essere utilizzate come arma in ulteriori attacchi contro l'organizzazione compromessa.
Perché gli operatori di phishing utilizzano reindirizzamenti aperti??
Infatti, i reindirizzamenti aperti nelle comunicazioni e-mail sono abbastanza comuni tra le organizzazioni. Gli specialisti delle vendite e del marketing li utilizzano per indirizzare i clienti a pagine di destinazione specifiche e tenere traccia dei tassi di clic. Naturalmente, gli aggressori hanno trovato un modo per sfruttare questa funzione collegandola a un URL in un dominio attendibile e incorporando l'URL dannoso finale come parametro, Microsoft ha detto. Facendo questo, gli operatori di phishing possono impedire agli utenti e alle soluzioni di sicurezza di rilevare rapidamente possibili intenti dannosi.
"Ad esempio, gli utenti addestrati a passare con il mouse sui collegamenti e a ispezionare gli artefatti dannosi nelle e-mail possono ancora vedere un dominio di cui si fidano e quindi fare clic su di esso. allo stesso modo, le tradizionali soluzioni gateway di posta elettronica possono inavvertitamente consentire il passaggio delle e-mail di questa campagna perché le loro impostazioni sono state addestrate a riconoscere l'URL principale senza necessariamente controllare i parametri dannosi nascosti in bella vista," il rapporto ha spiegato.
Un'altra cosa degna di nota di questa campagna di phishing è l'uso di vari domini per la sua infrastruttura di mittente, fatto anche allo scopo di eludere il rilevamento.
"Questi includono domini di posta elettronica gratuiti da numerosi domini di primo livello con codice paese (ccTLD), domini legittimi compromessi, e algoritmo generato dal dominio di proprietà dell'attaccante (DGA) domini,"ha riferito la società. Almeno 350 finora sono stati rilevati domini di phishing unici solo in questa campagna. Questo importante dettaglio rivela la determinazione e lo sforzo che gli aggressori hanno messo nella campagna, indicando così "vincite potenzialmente significative".
Nel mese di febbraio, i ricercatori hanno scoperto un'altra nuova tecnica utilizzata dagli operatori di phishing: un nuovo tecnica di offuscamento che utilizza il codice Morse per nascondere URL dannosi all'interno di un allegato di posta elettronica. Questo è stato forse il primo caso di autori di minacce che hanno utilizzato il codice Morse in questo modo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: