Sono stati sfruttati nomi sicuri e attendibili (Oxford University, Adobe e Samsung) per bypassare i filtri e colpire Microsoft Office 365

Microsoft Office 365

I ricercatori di Check Point® Software Technologies Ltd. hanno scoperto una sofisticata campagna phishing progettata per raccogliere informazioni aziendali memorizzate negli account di Microsoft Office 365. Per eludere il rilevamento da parte dei software di sicurezza, la campagna ha fatto leva su nomi sicuri e attendibili per bypassare i filtri. In questo caso, i nomi erano Oxford University, Adobe e Samsung.

Gli hacker hanno dirottato il server di posta elettronica dell’Università di Oxford per inviare e-mail dannose alle vittime. Le e-mail contenevano link che reindirizzavano a un server Adobe, utilizzato da Samsung in passato, consentendo agli hacker di sfruttare la facciata di un dominio legittimo di Samsung per ingannare con successo le vittime. Le vittime venivano condotte in un falso percorso con l’obiettivo di spingerle a condividere le credenziali di accesso di Office 365.

Gli hacker hanno progettato sofisticati attacchi phishing impersonando brand e organizzazioni note per aggirare i filtri di sicurezza e penetrare nelle reti aziendali.

  • Gli hacker hanno dirottato il server di posta elettronica di Oxford University per inviare e-mail dannose alle vittime
  • Gli attacchi sono stati indirizzati per il 43% verso imprese europee, e il resto verso organizzazioni in Asia e Medio Oriente
  • Gli hacker hanno utilizzato un dominio Samsung ospitato su un server Adobe che è stato lasciato inutilizzato dal “Cyber Monday” del 2018

Dirottati i server di posta elettronica di Oxford

All’inizio di aprile 2020, i ricercatori hanno iniziato a ispezionare le e-mail inviate alle vittime dal titolo “Office 365 Voice Mail”. Le e-mail sostenevano che un messaggio vocale era in attesa nella casella “In arrivo” delle vittime, e invitava loro a cliccare su un pulsante che le avrebbe portate al loro account Microsoft Office 365 per intraprendere ulteriori azioni. Una volta cliccato il pulsante, le vittime sono state reindirizzate a una pagina di phishing mascherata da pagina di login di Office 365.

La maggior parte delle e-mail proveniva da molteplici indirizzi generati, appartenenti a sottodomini legittimi di vari dipartimenti dell’Università di Oxford. Le intestazioni delle e-mail mostrano che gli hacker hanno trovato un modo per sfruttare uno dei server SMTP (simple mail transfer protocol) di Oxford, un’applicazione che ha lo scopo primario di inviare, ricevere e/o inoltrare la posta in uscita tra mittenti e destinatari. L’uso di server SMTP Oxford legittimi ha permesso agli hacker di superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente.

Reindirizzamenti dall’URL “sicuro” di Samsung

Nell’ultimo anno, i reindirizzamenti aperti di Google e Adobe sono stati utilizzati da campagne phishing per donare legittimità agli URL utilizzati nelle e-mail spam. Un reindirizzamento aperto è un URL di un sito web che può essere utilizzato da chiunque per reindirizzare gli utenti verso un altro sito. In questo caso, i link nella e-mail sono stati reindirizzati a un server Adobe precedentemente utilizzato da Samsung durante una campagna marketing per il “Cyber Monday” del 2018. In altre parole, il link incorporato nell’e-mail di phishing originale fa parte del dominio sicuro di Samsung, che inconsapevolmente reindirizza le vittime verso un sito web ospitato dagli hacker. Utilizzando questo specifico formato di link di Adobe Campaign e il dominio legittimo, gli aggressori aumentano le possibilità che la posta elettronica bypassi le soluzioni di sicurezza basate sulla reputazione, le blacklist e gli URL.

“Quella che all’inizio sembrava essere una classica campagna di phishing di Office 365, si è rivelata una strategia degna di nota: utilizzare brand rinomati per eludere i prodotti di sicurezza. Questa è una tecnica “raffinata” per riuscire a far breccia all’interno di una rete aziendale.” spiega David Gubiani, Regional Director SE EMEA Southern“L’accesso alla posta aziendale può consentire agli hacker un accesso illimitato alle operazioni di un’azienda, come ad esempio transazioni, report finanziari, invio di e-mail all’interno dell’azienda da una fonte affidabile, password e persino indirizzi delle risorse cloud di un’azienda. Per portare a termine l’attacco, l’hacker ha dovuto accedere ai server di Samsung e Oxford, il che significa che ha avuto il tempo di capire il loro funzionamento interno, permettendogli di passare inosservato.”

Consigli di sicurezza per gli utenti di Microsoft Office 365

  1. Utilizzare password diverse per le applicazioni cloud. Questa suddivisione protegge le informazioni quando si è esposti.
  2. Utilizzare soluzioni di sicurezza per cloud e e-mail. Il fatto che queste campagne prosperino dimostra che le soluzioni di sicurezza native sono facili da aggirare: usare le soluzioni di sicurezza specifiche permette di per rimuovere le minacce penetrare via e-mail e proteggere l’infrastruttura in-cloud.
  3. Non inserire le credenziali quando non ci si aspetta di farlo, su un sito che normalmente non le richiede. Spesso si tratta di una truffa sotto mentite spoglie.