Il Csirt (Computer Security Incident Response Team) ha reso noto che recentemente è stata osservata una campagna phishing volta a sottrarre alle vittime le credenziali dei servizi Microsoft Office.
L’email, che risulterebbe inviata da un mittente alterato con tecniche di spoofing, è scritta in lingua inglese e contiene la formula “A VoiceNote sent to your MailBox Arrived at 18th of January 2021” e un link a una risorsa esterna tramite cui il destinatario dovrebbe poter ascoltare la finta nota audio:
Nel tentativo di eludere i principali controlli di sicurezza, il link conduce inizialmente a un servizio di sicurezza della società Trend Micro utilizzato per il controllo della reputazione delle URL.
Tuttavia, visitando il link si ottiene il seguente messaggio di “warning” di Trend Micro:
Se l’utente dovesse procedere cliccando su “Continue to this website” sarebbe indirizzato verso il link:
- hXXps://symptomjustify[.]com//e23330785f499c128030ab1b7281f37a/#<INDIRIZZO_EMAIL_IN_BASE64>&umid=<STRINGA_ALFANUMERICA>&auth=< STRINGA_ESADECIMALE >-< STRINGA_ESADECIMALE >
il quale a sua volta reindirizzerà nuovamente il browser verso la pagina finale che imita il portale di login dei servizi Office:
- hXXps://kcseocompany[.]com/bigtims/Text/test.php?websrc=<STRINGA_ESADECIMALE>&dispatched=<INT>&id=<INT>&email=nomecognome@mail-service.tdl
Il campo “username” risulta precompilato e non modificabile: ciò avverrebbe grazie alla trasmissione, da parte della prima URL, dell’indirizzo della potenziale vittima di phishing codificato in base64 e alla successiva decodifica e predisposizione del campo (attuata nel corso del secondo reindirizzamento) tramite il valore del parametro email contenuto nella seconda URL.
Una volta inserita la password e dato seguito tramite il pulsante “SIGN IN”, le credenziali carpite con questo phishing verranno trasmesse all’URL hXXps://kcseocompany[.]com/bigtims/Text/drop.php, mentre all’utente verrà mostrata una nuova pagina di login contenente un messaggio di errore nel quale si esplicita l’impossibilità di verificare le credenziali, come mostrato nella figura successiva.
Tale messaggio potrebbe essere proposto al fine di raccogliere ulteriori credenziali utente nel caso in cui quest’ultimo dovesse effettuare nuovi tentativi inserendo password diverse (o varianti delle stesse) che è solito utilizzare.
Secondo il Csirt, gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi phishing verificando scrupolosamente le email ricevute, fornendo periodiche sessioni di formazione finalizzate a riconoscere il phishing.
