Una campagna di phishing(*) altamente mirata sta interessando i titolari di account di posta elettronica di organizzazioni Italiane.
Il messaggio dei truffatori
Questa volta il messaggio di posta elettronica tenta di impersonare il supporto della propria azienda/amministrazione che avvisa l’interlocutore circa un superamento del limite di archiviazione del proprio account di posta elettronica che impedirebbe l’invio e la ricezione di e-mail. Per ovviare al problema, il messaggio continua invitando a verificare lo stato del proprio account di posta elettronica attraverso la pagina di supporto proposta, pena l’eliminazione della casella dai server di gestione.
Il form web mirato
La pagina web propinata è altamente personalizzata (https: //www.loamarine[.]com/wp-content/plugins/lbwtfpiyis/index.html#) e si presenta come un form con loghi e nomi dell’organizzazione presa di mira con indirizzo e-mail preimpostato e un campo password da digitare.
In realtà dando seguito alla richiesta, si finisce con il consegnare ai truffatori i propri dati di accesso mentre si viene reindirizzati verso l’home page della propria organizzazione. Infatti le informazioni inserite nel modulo vengono inviate tramite metodo “POST” ad un server presidiato e in ascolto sullo stesso dominio.
Come avviene la personalizzazione dell’attacco
Per allestire la campagna di phishing altamente mirata gli attaccanti:
- Dapprima passano come parametro alla pagina di phishing l’indirizzo e-mail del target. Il link “Clicca qui” (“https: //www.loamarine[.]com/wp-content/plugins/lbwtfpiyis/index.html#[someone@example.com]”, usato indirizzo fittizio come esempio) passa l’indirizzo e-mail del destinatario mirato indicandolo dopo il carattere “#”.
- Con una funzione javascript estrapolano il nome del dominio di posta e invocano il servizio http://logo.clearbit[.]com/[nome dominio] per ricavare il logo (favicon) dell’organizzazione target.
- Infine con un’altra funzione javascript prevedono di reindirizzare l’utente dopo il submit del form verso l’home page dell’organizzazione target.
Raccomandazioni
Come sempre in questi casi, si raccomanda a tutti gli utenti di non condividere mai i propri dati sensibili con una terza parte e di confrontarsi sempre con il team di supporto della propria amministrazione per verificare la legittimità o meno delle richieste.
Purtroppo la fantasia dei criminali non ha mai limiti.
Alla campagna scoperta ho attribuito il nome di “My Slice”. Termine derivato dal nome di una variabile nel codice javascript della pagina di phishing.
IoC
https://urlscan.io/result/232d8b5f-aead-4064-8451-2b4d37d5c2a3/
https://urlscan.io/result/08e72fcf-0f89-46c2-864c-f4d404764358/
(*)Per segnalazioni di phishing e malspam potete scrivere a computersecuritynews@altervista.org sarà garantita la massima riservatezza.