Recentemente, una nuova campagna di e-mail spoofing ha attirato l’attenzione di esperti di sicurezza informatica e utenti di LinkedIn. La campagna sfrutta le e-mail di notifica di LinkedIn InMail per distribuire un Remote Access Trojan (RAT) noto come ConnectWise. Questa tecnica ingannevole ha messo a rischio molti utenti, evidenziando l’importanza di rimanere vigili contro le minacce informatiche. La campagna è stata identificata dal Cofense Phishing Defense Center (PDC) e Cofense Intelligence.
Cofense ha dichiarato a computersecuritynews che trattasi di un abuso del legittimo tool per supporto remoto ConnectWise Screenconnect, confermando che “ConnectWise Screenconect è uno strumento tecnicamente legittimo che di recente è stato oggetto di un numero sempre maggiore di abusi da parte di autori di minacce“.
Dettagli della campagna
Anche se la campagna utilizzi un modello di e-mail LinkedIn obsoleto, potrebbe comunque apparire familiare e quindi convincente per molti utenti. La e-mail infatti sembra una notifica di LinkedIn InMail, completa di logo LinkedIn, che invita l’utente a cliccare sui pulsanti “Read More” o “Reply To”. Cliccando su questi pulsanti, l’utente scarica in realtà il file di installazione del RAT ConnectWise. Un aspetto preoccupante della campagna è l’utilizzo del nome e della foto di una persona reale, ma con dettagli aziendali e del mittente falsificati. Questo rende ancora più difficile per gli utenti distinguere tra e-mail legittime e tentativi di phishing.
Sebbene l’analisi delle intestazioni di sicurezza dell’e-mail riveleverebbe che non supera i controlli di autenticazione SPF e DKIM, il che indica che l’e-mail non è stata inviata da un server LinkedIn legittimo e non è stata firmata digitalmente, l’esperto di Cofence Intelligence Kahng An spiega che “L’e-mail è riuscita a eludere le misure di sicurezza esistenti e il gateway di posta elettronica sicura (SEG) di Microsoft ATP, probabilmente perché l’azione DMARC configurata era impostata su “oreject”, che contrassegnerà l’e-mail come spam e le consentirà di raggiungere la casella di posta del destinatario.“.
Protezione contro queste minacce
Per proteggersi da campagne di phishing come questa, gli utenti dovrebbero seguire alcune best practice di sicurezza informatica:
1. Verificare l’autenticità delle e-mail: Controllare attentamente il mittente e i dettagli dell’e-mail prima di cliccare su qualsiasi link o scaricare allegati. Le e-mail sospette spesso contengono errori grammaticali, loghi o indirizzi e-mail falsificati.
2. Aggiornare il software di sicurezza: Assicurarsi di avere un software antivirus e anti-malware aggiornato installato sul proprio dispositivo.
3. Formazione sulla sicurezza: Partecipare a programmi di formazione sulla sicurezza informatica per imparare a riconoscere le e-mail di phishing e altre tecniche di inganno.
Le aziende dovrebbero configurare opportunamente i protocolli di autenticazione SPF, DKIM e DMARC e assicurarsi che il Secure Email Gateway sia impostato per filtrare efficacemente le e-mail sospette.
