Check Point Research ha unito le forze con Otorio per analizzare e approfondire una campagna phishing su larga scala che ha preso di mira migliaia di organizzazioni globali, in cui gli aggressori, a causa di un semplice errore nella catena di attacchi, hanno esposto le credenziali rubate alla rete Internet pubblica: con una semplice ricerca su Google, chiunque avrebbe potuto trovare la password di uno degli indirizzi email compromessi e rubati.
“Ad agosto, gli aggressori hanno avviato una campagna di phishing con e-mail mascherate da notifiche di scansione Xerox, invitando gli utenti ad aprire un allegato HTML dannoso. Sebbene questa catena di infezioni possa sembrare semplice, ha aggirato con successo i filtri di Microsoft Office 365 Advanced Threat Protection (ATP) e ha rubato oltre mille credenziali dei dipendenti aziendali”, si legge nella pubblicazione.
Catena di infezione
“L’attacco iniziale è iniziato con uno dei numerosi modelli di email di phishing. L’autore dell’attacco inviava un’e-mail imitando una notifica di scansione Xerox (o Xeros) con il nome del bersaglio o il titolo dell’azienda nella riga dell’oggetto.
Una volta che la vittima ha fatto doppio clic sul file HTML allegato, il browser di sistema predefinito ha visualizzato un’immagine sfocata con un’e-mail preconfigurata all’interno del documento.
Durante la campagna sono state utilizzate diverse altre varianti di pagina di phishing, ma l’immagine di sfondo sfocata è rimasta la stessa.
Dopo che il file HTML è stato avviato, viene eseguito un codice JavaScript in background del documento. Il codice era responsabile dei semplici controlli della password, dell’invio dei dati al server della zona di rilascio degli aggressori e del reindirizzamento dell’utente a una pagina di accesso di Office 365 legittima.
Durante tutta la campagna, il codice è stato continuamente perfezionato e perfezionato, con gli aggressori che creavano un’esperienza più realistica in modo che le vittime fossero meno propense a destare i loro sospetti e più propensi a fornire le proprie credenziali di accesso.
Questa campagna ha utilizzato un’infrastruttura unica e siti Web WordPress compromessi che sono stati utilizzati come server drop-zone dagli aggressori.
Durante l’utilizzo di un’infrastruttura specializzata, il server funzionerebbe per circa due mesi con dozzine di domini XYZ. Questi domini registrati sono stati utilizzati negli attacchi di phishing”.
