Credential harvesting via OneNote
Una campagna malspam porta al furto di credenziali attraverso un documento OneNote e una finta pagina di login Microsoft
È in corso una campagna di attacco che utilizza Microsoft OneNote per sottrarre credenziali di accesso ad account Microsoft. Come di norma, il vettore principale di attacco è la posta elettronica. Circolano in rete messaggi che simulano di essere state inviate da parte di società finanziarie italiane realmente esistenti. Queste mail contengono un link a un documento OneNote che dovrebbe essere, secondo la mail, una "proposta" di natura non specificata.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 11
Remoto sicuro, senza paura. Disinnescare l’allarme sicurezza sullo smart working e aiutare le imprese a ripartire… davvero.
Mag 13
IDC Future of Digital Infrastructure Digital Forum 2021
Mag 13
MySQL Day 2021 Digital Edition
Mag 17
NutanixWeek - CLOUDSCAPE
Mag 18
Kaspersky Sales Training: il nuovo appuntamento dedicato ai sales
Mag 18
NutanixWeek - IL MODERNO SPAZIO DI LAVORO DIGITALE
Mag 19
Be Connected day
Mag 19
NutanixWeek - GESTIONE OTTIMIZZATA DEI DATABASE
Mag 20
NutanixWeek - HYBRID CLOUD
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
