Phishing, per gli attacchi usati i messaggi crittografati di Microsoft

Sarebbero stati scoperti attacchi di phishing che utilizzano account Microsoft 365 compromessi ed e-mail crittografate con estensione .rpmsg per recapitare i messaggi ingannevoli. 

Trustwave ha condiviso il proprio rapporto descrivendo i dettagli di come verrebbero sfruttati i requisiti di autenticazione RPMSG per indurre le vittime tramite moduli di accesso falsi a consegnare le proprie credenziali Microsoft.

Cosa sono i file RPMSG

I file RPMSG (Restricted Permission Message) sono allegati di messaggi di posta elettronica crittografati creati utilizzando il Rights Management Services (RMS) di Microsoft ed impiegati per offrire un ulteriore livello di protezione alle informazioni scambiate. Infatti i destinatari che desiderano leggere questi tipi di messaggi per descrittografarli devono autenticarsi con il proprio account Microsoft oppure ottenere una passcode monouso.

Come si sviluppa l’attacco di phishing

Il tutto ha inizio con un’e-mail originata da un account Microsoft 365 compromesso, che mostra un messaggio crittografato Microsoft.

Campione e-mail (Fonte Trustwave)

Le e-mail degli attori delle minacce chiedono agli obiettivi di fare clic su un pulsante “Read the message” per decrittografare e aprire il messaggio protetto, reindirizzandoli a una pagina Web di Office 365 legittima con una richiesta di accesso al proprio account Microsoft. Dunque il messaggio di posta elettronica crittografato e archiviato come allegato (tramite servizio legittimo), punta tramite link verso un falso documento SharePoint ospitato sul servizio InDesign di Adobe.

Falso documento SharePoint (Fonte Trustwave)

Facendo click per per visualizzare il documento Adobe, si verrà reindirizzati verso la destinazione finale, ovvero una pagina vuota che in realtà funge da esca per consentire a uno script (javascript) di raccogliere varie informazioni di sistema (lingua di sistema, memoria del dispositivo, architettura del sistema operatico etc). Infine, una volta terminata la raccolta dei dati, verrà presentata allinterlocutore un’ultima pagina di login Microsoft 365 falsa.

Falsa pagina di login Microsoft 365 (Fonte Trustwave)

Possibili misure di mitigazione

Poichè come detto da Trustwave “l’utilizzo di messaggi .rpmsg crittografati significa che il contenuto di phishing del messaggio, inclusi i collegamenti URL, viene nascosto ai gateway di scansione della posta elettronica” come misure di mitigazione si consiglia di istruire gli utenti sulla natura della minaccia per non tentare di decrittografare o sbloccare messaggi imprevisti provenienti da fonti esterne, prevedendo anche la creazione di regole filtro per il traffico in entrata alo scopo di riconoscere i tipi di allegati e considerare l’azione appropriata da intraprendere (mettere in quarantena, copiare/contrassegnare il messaggio/l’oggetto). Per evitare che gli account di Microsoft 365 vengano compromessi, si consiglia altresì di abilitare l’autenticazione a più fattori.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.