BazarCall, la campagna Callback phishing si evolve

I ricercatori di sicurezza informatica di Abnormal Security hanno identificato una evoluzione della campagna di attacco di tipo Callback phishing, già nota con il famigerato nome BazarCall/BazaCall, che ha potenziato la propria strategia sfruttando in questo caso i moduli Google (Google Forms).

L’attacco tipico BazarCall

L’attacco BazarCall inizia solitamente con un’e-mail di phishing mascherata da notifica di pagamento o scadenza abbonamenti da parte di marchi noti (Netflix, Hulu e Disney+, McAfee, Norton). L’e-mail richiede ai destinatari di chiamare un numero di telefono fornito per contestare gli addebiti o annullare un servizio, creando un senso di urgenza. Tuttavia, alle chiamate risponde un finto servizio clienti, che guidandole, attraverso un processo ingannevole, induce le vittime a consentire l’assistenza remota installando in realtà un malware sui propri dispositivi (BazarLoader).

Fonte Abnormal Security

La variante dell’attacco

Ciò che distingue questa variante della campagna BazarCall, il cui scopo ultimo resta sempre quello di riuscire ad installare malware sui dispostivi delle vittime, come detto è l’utilizzo dei Moduli Google nel tentativo di aumentare la percezione di affidabilità delle e-mail in verità ingannevoli.

La strategia tanto semplice quanto subdola ed efficace prevede quanto segue: L’attaccante crea un modulo Google, aggiungendo dettagli su una transazione falsa, tra cui un numero di fattura, un numero di telefono e le informazioni di pagamento (facendo sembrare il form come una conferma di pagamento per un software Norton Antivirus, nell’esempio riportato), attiva l’opzione di ricezione della risposta (“elemento chiave dell’attacco“) e invia a se stesso il messaggio di invito a completare il modulo, completandolo una volta ricevuto inserendo come indirizzo e-mail valido quello della vittima. Il successivo submit fa il resto, recapitando una copia del modulo appena compilato all’indirizzo e-mail del target indicato (grazie alla precedente attivazione della ricezione di una copia della risposta!).

Fonte Abnormal Security

Difficoltà nel rilevare la minaccia e possibili soluzioni

L’utilizzo dei moduli Google, inviati oltretutto da un indirizzo Google legittimo, aumenta la parvenza di credibilità delle e-mail agli occhi della vittima oltre a rendere anche più difficile il loro rilevamento da parte dei filtri antispam tradizionali. “Poiché l’e-mail viene inviata direttamente da Google Forms, l’indirizzo del mittente è form-receipts-noreply@google[.]com e il nome visualizzato del mittente è Google Forms. Ciò non solo contribuisce a dare un’apparenza di legittimità, ma aumenta anche le possibilità che il messaggio venga recapitato con successo poiché l’e-mail proviene da un dominio legittimo e affidabile”, ha affermato il ricercatore di sicurezza Mike Britton.

Poiché l’abuso di un servizio legittimo come Google Forms e la natura dinamica degli stessi URL dei moduli Google rende particolarmente difficile l’identificazione tramite i tradizionali gateway di posta elettronica sicura (SEG, Secure Email Gateway) e gli strumenti di sicurezza basati sulle firme, secondo Britton solo le moderne soluzioni di sicurezza e-mail basate sull’intelligenza artificiale comportamentale e sull’analisi dei contenuti possono meglio aiutare ad identificare e contrastare questi tentativi di phishing sempre più sofisticati.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.