Credential harvesting via OneNote
Una campagna malspam porta al furto di credenziali attraverso un documento OneNote e una finta pagina di login Microsoft
È in corso una campagna di attacco che utilizza Microsoft OneNote per sottrarre credenziali di accesso ad account Microsoft. Come di norma, il vettore principale di attacco è la posta elettronica. Circolano in rete messaggi che simulano di essere state inviate da parte di società finanziarie italiane realmente esistenti. Queste mail contengono un link a un documento OneNote che dovrebbe essere, secondo la mail, una "proposta" di natura non specificata.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Ott 26
IDC Future of Intelligence 2021
Ott 27
SAP NOW 2021 - THE PLACES TO ROCK INNOVATION - DAY 1
Ott 28
SAP NOW 2021 - THE PLACES TO ROCK INNOVATION - DAY 2
Ott 28
#LetsTalkIoT - IoT is like an onion !?
Ott 28
#SicuroSemplice - Allarme sovrapposizione e accumulo di soluzioni di sicurezza con F-Secure e Symbolic
Nov 08
#LetsTalkIoT - Stranger things – a.k.a. who connects to my network?
Nov 11
Dell Technologies Forum 2021
Nov 11
Red Hat Summit Connect
Nov 16
Red Hat Summit Connect
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
