Credential harvesting via OneNote
Redazione SecurityOpenLab Una campagna malspam porta al furto di credenziali attraverso un documento OneNote e una finta pagina di login Microsoft
È in corso una campagna di attacco che utilizza Microsoft OneNote per sottrarre credenziali di accesso ad account Microsoft. Come di norma, il vettore principale di attacco è la posta elettronica. Circolano in rete messaggi che simulano di essere state inviate da parte di società finanziarie italiane realmente esistenti. Queste mail contengono un link a un documento OneNote che dovrebbe essere, secondo la mail, una "proposta" di natura non specificata.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Giu 17
Microsoft 365 Business Premium e Veeam: alleati per il successo aziendale!
Giu 17
Cloud, velocità e semplicità: HeatWave cambia le regole del gioco per MySQL
Giu 17
IBM Activation day
Giu 17
Acronis Ultimate 365 - Protezione 7-in-1 per Microsoft 365
Giu 17
Webinar by AMD | Potenzia il tuo business con Ryzen PRO
Giu 17
Webinar Sicurezza - Identity e Access Management
Giu 17
Scopri come semplificare la cybersecurity con Sophos MSP Connect Flex | Iscriviti al nostro Live Webinar
Giu 17
Ready Informatica Webinar | Parallels - La soluzione sicura e performante per una virtualizzazione ottimizzata di app e desktop
Giu 18
AWS Summit 2025 - Milano
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
