Bitdefender Labs ha annunciato, sulla base della sua ricerca, che tutti i programmi Microsoft Office (inclusi Outlook, Word, Excel, OneNote e PowerPoint) sono vulnerabili agli attacchi omografici ai nomi di dominio internazionalizzati (IDN).
Un attacco omografico – spiega Bitdefender– consiste nell’utilizzare domini con nomi molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco del criminale informatico, con la finalità di attirare gli utenti su siti fasulli e di ottenere così dati personali, di diffondere malware o rendere più credibile una mail di phishing, facendo credere al malcapitato di essere nel sito web originale.
Tuttavia, gli attacchi omografici IDN possono essere irriconoscibili dai domini a cui stanno facendo spoofing, perché le lettere dei vari alfabeti sono quasi identiche.
Sebbene il rischio di attacchi omografici IDN sia stato rilevato nei browser web, Bitdefender ha riscontrato che i nomi di dominio oggetto di spoofing utilizzati nelle applicazioni Microsoft Office rimangono camuffati, rendendo elevata la probabilità di clic da parte dell’utente.
Bitdefender ha scoperto che tutte le applicazioni di Microsoft Office rimangono vulnerabili agli attacchi di tipo omografico IDN. La società di cybersecurity ha inoltre reso noto di aver testato altre applicazioni di produttività e di aver riscontrato un comportamento incoerente: alcune applicazioni visualizzano sempre l’indirizzo reale, mentre altre visualizzano un nome internazionale.
Bitdefender ha affermato di aver segnalato questo problema a Microsoft nell’ottobre 2021 e il Microsoft Security Response Center ha confermato la validità dei risultati del vendor. Ad oggi – ha dichiarato Bitdefender – non è ancora chiaro se e quando Microsoft risolverà il problema.
Gli attacchi al nome di dominio internazionalizzato sono uno strumento efficace che gli avversari di alto livello (APT o RaaS) possono utilizzare contro obiettivi di alto valore (aziende o persone). Bitdefender ha osservato attacchi di spoofing che hanno preso di mira istituzioni finanziarie e borse di criptovalute.
Bitdefender ha inoltre fornito le sue raccomandazioni:
- Considerare la possibilità di attacchi omografici nei momenti di formazione e di sensibilizzazione degli utenti, compresa la possibilità di attacchi omografici contro la supply chian dell’azienda.
- Implementare una soluzione di sicurezza per gli endpoint che rilevi e blocchi i siti web dannosi.
- Utilizzare i servizi di reputazione di IP e URL per tutti i dispositivi aziendali. Una semplice regola da tenere in considerazione: se l’URL inizia con xn--, il sito è sospetto.
Ogni mese Bitdefender esamina i dati della sua telemetria per ottenere maggiori informazioni sul panorama delle minacce in merito agli attacchi omografici. Analizzando queste informazioni emerge una chiara tendenza a prendere di mira le operazioni finanziarie, con un focus primario sui mercati delle criptovalute.
Sul sito di Bitdefender è possibile consultare la ricerca completa della società di cybersecurity.
