Spear phishing, il cyber crime aguzza sempre più l’ingegno

Una campagna di phishing(*) altamente mirata sta interessando i titolari di account di posta elettronica di organizzazioni Italiane.

Il messaggio dei truffatori

Questa volta il messaggio di posta elettronica tenta di impersonare il supporto della propria azienda/amministrazione che avvisa l’interlocutore circa un superamento del limite di archiviazione del proprio account di posta elettronica che impedirebbe l’invio e la ricezione di e-mail. Per ovviare al problema, il messaggio continua invitando a verificare lo stato del proprio account di posta elettronica attraverso la pagina di supporto proposta, pena l’eliminazione della casella dai server di gestione.

Campione e-mail ingannevole

Il form web mirato

La pagina web propinata è altamente personalizzata (https: //www.loamarine[.]com/wp-content/plugins/lbwtfpiyis/index.html#) e si presenta come un form con loghi e nomi dell’organizzazione presa di mira con indirizzo e-mail preimpostato e un campo password da digitare.

Form web mirato

In realtà dando seguito alla richiesta, si finisce con il consegnare ai truffatori i propri dati di accesso mentre si viene reindirizzati verso l’home page della propria organizzazione. Infatti le informazioni inserite nel modulo vengono inviate tramite metodo “POST” ad un server presidiato e in ascolto sullo stesso dominio.

Come avviene la personalizzazione dell’attacco

Per allestire la campagna di phishing altamente mirata gli attaccanti:

  • Dapprima passano come parametro alla pagina di phishing l’indirizzo e-mail del target. Il link “Clicca qui” (“https: //www.loamarine[.]com/wp-content/plugins/lbwtfpiyis/index.html#[someone@example.com]”, usato indirizzo fittizio come esempio) passa l’indirizzo e-mail del destinatario mirato indicandolo dopo il carattere “#”.
  • Con una funzione javascript estrapolano il nome del dominio di posta e invocano il servizio http://logo.clearbit[.]com/[nome dominio]  per ricavare il logo (favicon) dell’organizzazione target.
Codice javascript che recupera dall’indirizzo e-mail il nome e il logo del dominio target
  • Infine con un’altra funzione javascript prevedono di reindirizzare l’utente dopo il submit del form verso l’home page dell’organizzazione target.
Codice javascript che dopo il submit reindirizza l’utente verso la vera home page di dominio del target

Raccomandazioni

Come sempre in questi casi, si raccomanda a tutti gli utenti di non condividere mai i propri dati sensibili con una terza parte e di confrontarsi sempre con il team di supporto della propria amministrazione per verificare la legittimità o meno delle richieste.

Purtroppo la fantasia dei criminali non ha mai limiti.

Alla campagna scoperta ho attribuito il nome di “My Slice”. Termine derivato dal nome di una variabile nel codice javascript della pagina di phishing.

IoC

https://urlscan.io/result/232d8b5f-aead-4064-8451-2b4d37d5c2a3/

https://urlscan.io/result/08e72fcf-0f89-46c2-864c-f4d404764358/

(*)Per segnalazioni di phishing e malspam potete scrivere a computersecuritynews@altervista.org sarà garantita la massima riservatezza.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.