Credential harvesting via OneNote
Una campagna malspam porta al furto di credenziali attraverso un documento OneNote e una finta pagina di login Microsoft
È in corso una campagna di attacco che utilizza Microsoft OneNote per sottrarre credenziali di accesso ad account Microsoft. Come di norma, il vettore principale di attacco è la posta elettronica. Circolano in rete messaggi che simulano di essere state inviate da parte di società finanziarie italiane realmente esistenti. Queste mail contengono un link a un documento OneNote che dovrebbe essere, secondo la mail, una "proposta" di natura non specificata.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Seguendo il link si arriva effettivamente a un documento OneNote, che però è malevolo. Al suo interno si trova infatti un rimando verso un dominio controllato da chi ha organizzato l'attacco. Il destinatario del messaggio spam viene così portato su una pagina che simula la pagina di login a Microsoft OneDrive. La pagina spiega che login viene richiesto perché il file da consultare è protetto e si richiede quindi l'indirizzo email di chi chiede di consultarlo.
Al malcapitato visitatore del sito-civetta viene in sostanza chiesto di autenticarsi con il proprio account Microsoft. Ma le credenziali immesse vengono semplicemente sottratte. Che si tratti di un attacco e non di server leciti si intuisce dagli URL visibili nel browser di chi intende consultare il documento. Un URL in particolare rimanda al sito oliveandowl[.]com. Che ad una consultazione normale (non delle pagine interne ma della homepage) appare come un sito incompleto. Potrebbe essere stato creato ad hoc oppure "bucato" e utilizzato da criminali.
L'attacco è stato segnalato anche dal CSIRT ma, proprio per le ragioni appena spiegate, non è molto sofisticato. Lo si evita con un buon antispam e con il buon senso. Evitando cioè di inserire credenziali di accesso ai propri account senza un più che valido motivo.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mar 02
DevSecOps: la cybersecurity sposa lo sviluppo moderno #DevSecOpsSecrets
Mar 08
Bitdefender a Cybersecurity Go Beyond 2021
Mar 09
BITDEFENDER A CYBERSECURITY SUMMIT LIVE
Mar 09
Workshop - Cloud Security con Trend Micro
Mar 09
Le tecnologie di AVM al servizio della sicurezza
Mar 10
Semplificate la cyber resilience dei Vostri Clienti con Sophos & Datto
Mar 16
Bitdefender a Security Summit Streaming Edition
Mar 17
Scopri Last Pass, Rescue e Central
Mar 23
L'IT agile sposa gli analytics #agileanalytics
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
