Gli attori rinnovano i materiali della campagna di phishing per vittime di più appaltatori governativi con Microsoft 365

Un gruppo di malintenzionati ha intensificato le proprie campagne di phishing per indurre grandi aziende (in particolare quelle dei settori dell'energia, dei servizi professionali e delle costruzioni) a presentare le proprie Microsoft Office 365 Credenziali dell'account. Secondo un rapporto della società di soluzioni di rilevamento e risposta al phishing Cofenso, gli operatori della campagna hanno apportato miglioramenti al processo e alla progettazione dei loro elementi di richiamo e ora si travestono da altre agenzie governative statunitensi, come i dipartimenti dei trasporti, del commercio e del lavoro.

"Gli attori delle minacce stanno conducendo una serie di campagne che falsificano diversi dipartimenti del governo degli Stati Uniti", ha affermato Cofense. “Le e-mail affermano di richiedere offerte per progetti governativi, ma portano invece le vittime a pagine di phishing delle credenziali. Queste campagne sono in corso almeno dalla metà del 2019 e sono state trattate per la prima volta nel nostro Flash Alert a luglio 2019. Queste campagne avanzate sono ben realizzate, sono state viste in ambienti protetti da gateway di posta elettronica sicuri (SEG), sono molto convincenti e sembrano essere preso di mira. Si sono evoluti nel tempo migliorando i contenuti delle email, dei PDF e l'aspetto e il comportamento delle pagine di phishing delle credenziali".

Cofense ha mostrato una serie di screenshot che confrontavano il materiale precedente e quello attuale utilizzato dagli aggressori. I primi a ottenere questi miglioramenti sono le e-mail e i PDF, che ora vengono personalizzati per apparire più autentici. "Le prime e-mail avevano corpi e-mail più semplicistici senza loghi e con un linguaggio relativamente semplice", ha aggiunto Cofense. “Le e-mail più recenti utilizzavano loghi, blocchi di firme, formattazione coerente e istruzioni più dettagliate. Le e-mail recenti includono anche collegamenti per accedere ai PDF anziché allegarli direttamente".

D'altra parte, per prevenire i sospetti delle vittime, gli attori delle minacce hanno anche apportato modifiche alla pagina di phishing delle credenziali, dal processo di accesso al design e ai temi. Anche gli URL delle pagine vengono volutamente modificati in quelli più lunghi (ad es. transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), quindi i target vedranno solo la parte .gov in un browser più piccolo finestre. Inoltre, la campagna ora include requisiti captcha e altre istruzioni per rendere il processo più credibile.

I perfezionamenti di tali campagne rendono più difficile per gli obiettivi distinguere siti Web e documenti reali da quelli falsificati, soprattutto ora che gli attori utilizzano informazioni aggiornate copiate da fonti originali. Tuttavia, Cofense ha sottolineato che ci sono ancora modi per evitare di cadere vittima di questi atti. Oltre a individuare piccoli dettagli (ad es. data errata sulle pagine e URL sospetti), tutti i destinatari devono sempre essere cauti nel fare clic sui collegamenti, non solo quelli incorporati nelle e-mail ma anche quelli negli allegati.