Attacco di phishing sofisticato sfrutta l’infrastruttura di Google
In un attacco di phishing descritto come “estremamente sofisticato”, gli attori delle minacce hanno utilizzato un approccio insolito che ha permesso l’invio di email false tramite l’infrastruttura di Google, reindirizzando i destinatari a siti fraudolenti per raccogliere le loro credenziali.
Email firmata e inviata da Google
La particolarità di questo attacco è che l’email è valida e firmata, inviata realmente da no-reply@google.com. Nick Johnson, sviluppatore principale del Ethereum Name Service (ENS), ha spiegato che l’email supera il controllo della firma DKIM e viene visualizzata su Gmail senza alcun avviso, inserendola nella stessa conversazione di altri avvisi di sicurezza legittimi.
Inganno tramite URL di Google Sites
Il messaggio email informa i destinatari di una presunta citazione in giudizio da parte di un’autorità di polizia, invitandoli a cliccare su un URL di sites.google[.]com per “esaminare i materiali del caso o prendere misure per presentare un ricorso”. L’URL di Google Sites mostra una pagina simile a quella di supporto di Google, con pulsanti per “caricare documenti aggiuntivi” o “visualizzare il caso”. Cliccando su queste opzioni, la vittima viene indirizzata a una pagina di accesso a Google Account falsa, ospitata su Google Sites.
Vulnerabilità di Google Sites
Google Sites è un prodotto legacy che consente agli utenti di ospitare contenuti su un sottodominio google.com, supportando script e incorporamenti arbitrari. Questo rende semplice la creazione di un sito per il furto di credenziali, poiché gli attaccanti possono caricare nuove versioni man mano che le vecchie vengono rimosse dal team di abuso di Google. Inoltre, non esiste un modo per segnalare abusi dall’interfaccia di Sites.
Attacco di replay DKIM
L’attività malevola è stata caratterizzata come un attacco di replay DKIM. L’attaccante crea un account Google per un nuovo dominio e un’applicazione OAuth di Google con un nome che include l’intero contenuto del messaggio di phishing. Concede quindi all’app OAuth l’accesso al proprio account Google, generando un messaggio di “Avviso di sicurezza” da Google, firmato con una chiave DKIM valida.
Bypass dei filtri di sicurezza email
L’attaccante inoltra il messaggio da un account Outlook mantenendo intatta la firma DKIM, permettendo al messaggio di bypassare i filtri di sicurezza email. Il messaggio viene poi inoltrato tramite un servizio SMTP personalizzato chiamato Jellyfish e ricevuto dall’infrastruttura PrivateEmail di Namecheap, facilitando l’inoltro della posta all’account Gmail bersaglio.
Fonte: The Hackers News
