▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Nuova campagna di phishing contro le aziende europee

Sfrutta l’ingegneria sociale e le vulnerabilità nelle infrastrutture cloud la campagna di phishing che pochi mesi fa ha preso di mira le aziende europee.

Tecnologie/Scenari

I ricercatori della Unit 42 di Palo Alto Networks hanno recentemente scoperto una sofisticata campagna di phishing che sta prendendo di mira aziende europee nei settori automobilistico, chimico e manifatturiere con l’obiettivo di raccogliere le credenziali degli account e prendere il controllo dell’infrastruttura cloud Microsoft Azure delle vittime. L’iniziativa ha raggiunto il picco a giugno 2024 ma è rimasta attiva fino a settembre 2024, coinvolgendo circa 20.000 utenti in diverse aziende target.

Si tratta di una campagna insidiosa perché una volta compromesse le credenziali gli attaccanti hanno accesso alle infrastrutture cloud, da cui possono rubare dati sensibili e causare ingenti perdite economiche, oltre che interruzioni operative. Gli attaccanti hanno inoltre ottenuto l'accesso persistente agli ambienti delle vittime aggiungendo dispositivi non autorizzati ai processi di autenticazione.

L’analisi tecnica

Il primo anello della catena di attacco era una email di phishing con allegati file PDF dannosi, a volte con il nome dell'organizzazione vittima, abilitati per Docusign o con link HTML incorporati. In entrambi i casi l’obiettivo era reindirizzare le vittime verso pagine di phishing create abusando del servizio legittimo HubSpot Free Form Builder, del tutto estraneo alla campagna. A distinguere i messaggi ingannevoli era il tipico tono di urgenza, con frasi che richiedevano una “azione immediata”, e il fatto che molti messaggi non superavano controlli di autenticazione quali Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), e Domain-based Message Authentication, Reporting and Conformance (DMARC). Questo particolare indica possibili spoofing o alterazioni delle email.

La catena di attaccoGli allegati PDF simulavano documenti Docusign e contenevano link che indirizzavano le vittime a un modulo ospitato su HubSpot, al cui interno c’erano un ulteriore link che rimandava a pagine di login false con l'aspetto di Microsoft Azure. Qui, inserendo le proprie credenziali, le vittime cedevano gli account agli attaccanti. In alcuni casi i livelli di reindirizzamento per raggiungere le pagine false di raccolta credenziali erano addirittura due.

Un meccanismo complesso che aiutava senza dubbio a eludere i controlli di sicurezza e che è sintomo di una sofisticata comprensione delle tecniche di ingegneria sociale, oltre che delle vulnerabilità nelle infrastrutture cloud, ma che al contempo avrebbe dovuto allertare gli utenti e interrompere l’interazione. Chi non si è insospettivo ha permesso agli attaccanti di usare le proprie credenziali per sfruttare VPN e proxy in modo da far credere che l’accesso provenisse di fatto dallo stesso paese delle vittime.

La falsa interfaccia di autenticazioneGli attaccanti hanno fatto uso di infrastrutture di hosting che garantivano loro l’anonimato e che venivano sfruttate sia per le operazioni di phishing sia per l'accesso diretto ai sistemi compromessi, suggerendo che gli attaccanti possedessero l'infrastruttura stessa anziché limitarsi ad affittarla.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1