Nuova tecnica di phishing: precision-validating phishing
I ricercatori di cybersecurity stanno mettendo in luce un nuovo tipo di attacco di phishing delle credenziali che garantisce che le informazioni rubate siano associate a account online validi. Questa tecnica è stata denominata precision-validating phishing da Cofense, che ha spiegato come utilizzi la validazione in tempo reale delle email per servire schermate di login false solo a un insieme selezionato di obiettivi di alto valore.
Questa tattica offre agli attori delle minacce un tasso di successo più elevato nell’ottenere credenziali utilizzabili, poiché interagiscono solo con una lista pre-raccolta di account email validi. A differenza delle campagne di raccolta credenziali “spray-and-pray”, che coinvolgono la distribuzione massiva di email spam per ottenere informazioni di accesso delle vittime in modo indiscriminato, questa nuova tattica di attacco porta il spear-phishing a un livello superiore, interagendo solo con indirizzi email che gli attaccanti hanno verificato come attivi, legittimi e di alto valore.
Come funziona il precision-validating phishing
In questo scenario, l’indirizzo email inserito dalla vittima in una pagina di phishing viene validato rispetto al database dell’attaccante, dopodiché viene visualizzata la pagina di login falsa. Se l’indirizzo email non esiste nel database, la pagina restituisce un errore o l’utente viene reindirizzato a una pagina innocua come Wikipedia per eludere l’analisi della sicurezza.
I controlli vengono effettuati integrando un servizio di validazione basato su API o JavaScript nel kit di phishing, che conferma l’indirizzo email prima di procedere al passaggio di cattura della password. Questo aumenta l’efficienza dell’attacco e la probabilità che le credenziali rubate appartengano a account reali e attivamente utilizzati, migliorando la qualità dei dati raccolti per la rivendita o ulteriori sfruttamenti.
Impatto e difficoltà di analisi
I crawler di sicurezza automatizzati e gli ambienti sandbox faticano ad analizzare questi attacchi perché non possono bypassare il filtro di validazione. Questo approccio mirato riduce il rischio per gli attaccanti e prolunga la durata delle campagne di phishing.
Campagna di phishing con promemoria di eliminazione file
Parallelamente, la società di cybersecurity ha rivelato i dettagli di una campagna di phishing via email che utilizza promemoria di eliminazione file come esca per rubare credenziali e distribuire malware. L’attacco a due punte sfrutta un URL incorporato che apparentemente punta a un file PDF programmato per essere eliminato da un servizio di archiviazione file legittimo chiamato files.fm.
Se il destinatario del messaggio clicca sul link, viene indirizzato a un link legittimo di files.fm da cui può scaricare il presunto file PDF. Tuttavia, quando il PDF viene aperto, gli utenti sono presentati con due opzioni: visualizzare in anteprima o scaricare il file. Gli utenti che scelgono la prima opzione vengono portati a una falsa schermata di login di Microsoft progettata per rubare le loro credenziali. Quando viene selezionata l’opzione di download, viene scaricato un eseguibile che afferma di essere Microsoft OneDrive, ma in realtà è il software di desktop remoto ScreenConnect di ConnectWise.
Fonte: The Hackers News
