Secondo il Threat Intelligence and Response Center (TIRC) di Vadesecure, l’e-mail di attacco includerebbe un allegato HTML dannoso con codice JavaScript implementato per raccogliere l’indirizzo e-mail del destinatario e dirottare verso una falsa pagina di autenticazione Microsoft 365 utilizzando i dati della variabile di una funzione di callback codificati in Base64.
La decodifica della stringa avrebbe rilevato, tramite il dominio eevilcorp[.]online, una richiesta verso un oggetto JSON contenente il codice sorgente HTML/JavaScript per generare il modulo di autenticazione Microsoft 365 dannoso.(hxxps[://]eevilcorp[.]online/generator?table=10&meme=F-00060&peer=young_multiple)
Inoltre la pagina restituita dal dominio dannoso eevilcorp[.]online sarebbe secondo i ricercatori una pagina di autenticazione correlata a un’applicazione denominata Hawkeye.
Come riportato da diversi esperti della sicurezza informatica (ad esempio Talos), l’HawkEye Keylogger sarebbe un kit malware disponibile in natura dal 2013.
“Il phishing rimane una delle principali minacce e il metodo n. 1 per la distribuzione di malware, incluso il ransomware . Per proteggere la tua organizzazione dalle compromissioni è necessario adottare una formazione per la consapevolezza degli utenti che insegni ai dipendenti come individuare e gestire le minacce di phishing“, concludono i ricercatori di Vadesecure.
È sempre buona regola verificare la legittimità delle richieste ricevute attraverso i canali ufficiali del soggetto mittente e qualora si sospetti che siano una truffa, segnalarle al mittente legittimo, al CERT-AGID e alla Polizia Postale.
In questo modo si contribuisce anche ad evitare che altre potenziali vittime possano cadere nella trappola del phishing.