Office 365, il cavallo di Troia per una nuova campagna di Phishing

Una nuova campagna di phishing, altamente mirata, ha colpito i dirigenti di alto livello di oltre 150 aziende in tutto il mondo, rubando documenti riservati e liste di contatti, secondo una ricerca recentemente pubblicata.

La campagna, che prende di mira gli utenti di Office 365, sembra essere in corso già dalla metà del 2019 e sembra essere partita dalla Nigeria. Circa la metà delle organizzazioni cadute vittima dell'attacco sono società di servizi finanziari, con studi legali e società immobiliari a seguire.

La campagna ha compromesso gli account di oltre 150 dirigenti e manager di alto rango in istituti finanziari multinazionali e regionali come gli Stati Uniti, il Canada, la Germania, il Regno Unito, i Paesi Bassi, Hong Kong, Singapore e altre località, raccontano gli esperti. Soprannominata "PerSwaysion", un gioco di parole che deriva dal fatto che gli attacchi utilizzano spesso Microsoft Sway e altri strumenti cloud per cercare di convincere gli utenti a visitare pagine di phishing dall'aspetto legittimo e a inserire le proprie credenziali di accesso.

Un attacco in tre fasi

I criminal hacker dietro questa campagna si avvalgono di legittimi strumenti Microsoft cloud - tra cui Sway, SharePoint e OneNote - per far sembrare legittimi i loro tentativi di compromissione degli account di Office 365. L'attacco sfrutta le ultime tecniche di social engineering e si sviluppa in tre fasi separate:

• Allegato PDF: Questo è stato progettato per assomigliare a una legittima notifica di file sharing di Office 365, con un link "leggi ora", che, se cliccato, fa scattare la seconda fase.
  
  
• Pagina di condivisione dei file: Gli utenti che cliccano su "leggi ora" vengono portati su una pagina che si presenta in tutto e per tutto come un sito legittimo di condivisione file di Microsoft Office 365, costruito utilizzando Microsoft Sway, SharePoint o OneNote per farlo sembrare più legittimo agli strumenti di sicurezza automatizzati. Tuttavia, questa è una pagina di presentazione appositamente realizzata che abusa della vista predefinita di Sway.
  
  
• Sito di Phishing: Questa pagina porta a un sito di phishing mascherato da pagina di log-in per Microsoft. Qui alla vittima viene assegnato un numero di serie univoco dal kit di phishing, che serve come rudimentale tecnica di fingerprinting Se un utente inserisce le proprie credenziali aziendali Office 365 nella pagina, viene indirizzato a un server dati separato e viene immediatamente inviata un'e-mail agli aggressori. Questa e-mail extra viene utilizzata come metodo di notifica in tempo reale per assicurarsi che gli aggressori reagiscano sulle credenziali appena raccolte.

Perché Office 365?

Gli utenti di Office 365 rimangono un obiettivo primario per gli aggressori, il più delle volte tramite campagne di phishing. La mancanza di autenticazione multifattoriale e il supporto per l'autenticazione di base sono uno dei motivi principali che li rende così appetibili della loro esposizione. Basti pensare che da uno studio campione su oltre 1.000 incidenti di Cyber Security nel 2019, il 38% di questi è riconducibile ad attacchi di phishing. Di questi, il 31% ha riguardato direttamente una violazione di account Office 365. Gli attacchi di phishing rivolti agli utenti di Office 365 mirano in genere a ingannare i destinatari per indurli a trasferire denaro agli aggressori, tramite fatture false o altri trucchi. Questi attacchi, anche se all'apparenza non troppo sofisticati si sono rivelati comunque molto lucrativi (si veda il caso di Maire Tecnimont).

Nel caso di PerSwaysion, almeno finora, non è stato possibile rintracciare alcun dato esfiltrato e venduto sul Dark Web, anche se potrebbe volerci più di qualche giorno prima di cominciare a vedere le tracce dell'attacco. Dato che la campagna PerSwaysion sta prendendo piede e il numero delle vittime è in crescita, è probabile che i dati siano ancora in fase di elaborazione da parte dei criminal hacker per determinarne il valore. Non è chiaro il motivo per cui il kit di phishing PerSwaysion sia stato creato per la prima volta, ma sappiamo che attualmente, il kit di circola solo tra un numero limitato di gruppi di criminal hacker specializzati nel phishing. Finora non ci sono prove di vendite sul Dark Web della versione corrente.  Nonostante questo, sappiamo che il settore dei servizi di Cyber Crime, in continua espansione, rende più facile che mai per gli aggressori, che potrebbero non avere competenze di codifica avanzate, trovare sviluppatori in grado di fornire loro strumenti di hacking e phishing sufficientemente avanzati da consentire loro di ottenere una fonte di profitto stabile.