Il CSIRT Italia segnala la prosecuzione di campagne di spear phishing contro caselle di posta aziendali di organizzazioni nazionali, già oggetto di precedenti avvisi. Gli attaccanti compromettono account e li utilizzano per inviare nuove e-mail malevole verso contatti interni ed esterni, con oggetti che simulano messaggi di inoltro e allegati.
Il mittente e il destinatario coincidono con la stessa casella aziendale compromessa, mentre i reali destinatari vengono inseriti in copia conoscenza nascosta, così da eludere i filtri antispam e i meccanismi di rilevamento. I messaggi sono redatti in lingua inglese con un testo essenziale come “Please see attached” seguito da firma.
L’e-mail allegata in formato .eml include un collegamento a una risorsa di phishing che simula la condivisione di un documento da revisionare. Nel caso in cui l’utente clicchi sul link, viene reindirizzato verso risorse ospitate su servizi cloud legittimi, come Microsoft Azure o Amazon Web Services, scelta che contribuisce a ridurre la probabilità di rilevamento. In una prima fase viene mostrata una landing page con un presunto documento PDF da visionare e un pulsante che conduce a un ulteriore form di autenticazione generico. All’utente viene richiesto di completare il login, incluso l’inserimento del codice MFA, per accedere al contenuto. Dopo l’inserimento delle credenziali, un falso errore tecnico viene visualizzato a schermo, così da evitare sospetti e consentire agli attaccanti di riutilizzare le informazioni sottratte.
Per mitigare il rischio il CSIRT Italia raccomanda di verificare con attenzione le comunicazioni inattese, non cliccare su link sospetti, attivare l’autenticazione multifattore, controllare eventuali regole di inoltro automatico non autorizzate e, in caso di compromissione, procedere alla rotazione delle credenziali e al re-enrollment del MFA.
