Le campagne di phishing stanno evolvendo rapidamente e uno dei vettori più recenti osservati dai ricercatori di sicurezza riguarda l’abuso dei file calendario .ics: una nuova tecnica malevola spesso indicata come CalPhishing (Calendar Phishing) che rappresenta un cambiamento importante nel modo in cui gli attaccanti cercano di colpire utenti e organizzazioni.
Un’analisi pubblicata da Fortra descrive una campagna che sfrutta gli inviti calendario per distribuire link malevoli e mantenere persistenza anche dopo la rimozione dell’e-mail originale.
Indice degli argomenti
Perché i file ICS sono diventati interessanti per gli attaccanti
I file .ics sono utilizzati quotidianamente da piattaforme come Microsoft Outlook, Google Calendar e altri sistemi di collaborazione per gestire meeting, appuntamenti e notifiche automatiche.
Si tratta di semplici file di testo conformi allo standard iCalendar, normalmente considerati innocui dai sistemi di sicurezza.
Molte piattaforme di e-mail security concentrano infatti le analisi più approfondite su allegati Office, archivi compressi o link contenuti nel corpo della e-mail, piuttosto che su file calendario.
Fonte: Fortra.
Secondo il report di Fortra, la tecnica permette anche di aumentare la probabilità di interazione da parte dell’utente. Un invito calendario appare infatti come un elemento operativo quotidiano e genera normalmente un livello di fiducia superiore rispetto a una classica e-mail inattesa.
Cosa può accadere una volta che l’utente riceve l’invito
Quando l’utente riceve l’invito fraudolento, il client Microsoft Outlook riconosce automaticamente il file .ics allegato e lo interpreta come una normale richiesta di riunione.
L’evento può quindi comparire direttamente nel calendario dell’utente, generando notifiche e promemoria che ne aumentano la credibilità.
A questo punto l’invito può assumere diverse forme. In alcuni casi contiene allegati o collegamenti a pagine HTML visualizzate nel corpo dell’invito; in altri rappresenta semplicemente il primo contatto di social engineering che prepara la vittima a un successivo attacco phishing.
L’obiettivo rimane comunque lo stesso di una tradizionale campagna phishing ovvero rubare credenziali, sottrarre token di autenticazione, distribuire malware oppure ottenere accesso ad account privilegiati.
Fonte: Fortra.
Qualora l’utente compia l’azione richiesta, ad esempio inserendo le credenziali in una falsa pagina Microsoft 365 collegata all’invito, gli attaccanti possono ottenere accesso ai sistemi aziendali sfruttando token o sessioni autenticate.
Una volta compromesso l’account, il gruppo criminale può muoversi lateralmente nell’infrastruttura, stabilire persistenza, condurre ulteriori campagne di spear phishing interne oppure tentare operazioni più distruttive, soprattutto nel caso in cui siano stati compromessi account amministrativi.
La persistenza dopo la consegna
L’aspetto più pericoloso della campagna riguarda il concetto di “post-delivery persistence”. In molti ambienti Microsoft 365 l’evento calendario può infatti rimanere presente anche se il messaggio e-mail originale viene successivamente eliminato o messo in quarantena dai controlli di sicurezza.
In pratica, l’utente continua a visualizzare il meeting fraudolento nel proprio calendario giorni o settimane dopo l’arrivo iniziale del messaggio. Questo consente agli attaccanti di mantenere il proprio contenuto attivo all’interno dell’ambiente aziendale e di aumentare le possibilità che qualcuno interagisca con il link malevolo in un secondo momento.
Il rischio cresce ulteriormente nei contesti in cui gli inviti vengono aggiunti automaticamente al calendario senza una conferma esplicita dell’utente. In questi casi il meeting compare direttamente nell’agenda personale, aumentando la credibilità dell’attacco.
Collegamenti con Eviltokens e tecnica ConsentFix
Secondo l’analisi di Fortra, alcuni indicatori suggeriscono possibili collegamenti con il kit phishing PaaS noto come Eviltokens. Questo framework è stato osservato in diverse campagne rivolte agli ambienti Microsoft 365 ed è progettato per sottrarre token di autenticazione e sessioni utente attraverso pagine fraudolente altamente convincenti.
L’attività osservata sfrutterebbe inoltre la tecnica denominata ConsentFix (nota anche come device code phishing).
In questo scenario l’utente viene indirizzato verso richieste OAuth apparentemente legittime che chiedono autorizzazioni ad applicazioni in realtà malevole. Una volta concesso il consenso, gli attaccanti possono ottenere accesso persistente a mailbox, file o servizi cloud senza dover necessariamente conoscere la password dell’utente.
Un nuovo fronte per la sicurezza aziendale
La campagna di calendar phishing descritta da Fortra mostra come gli strumenti collaborativi stiano diventando un nuovo bersaglio per il cybercrime.
Per anni la sicurezza si è concentrata principalmente sulla posta elettronica tradizionale, mentre calendari, chat aziendali e piattaforme cloud sono rimasti meno monitorati.
Gli attaccanti stanno invece comprendendo che questi strumenti godendo di un elevato livello di fiducia operativa vengono spesso percepiti come parte normale del flusso di lavoro quotidiano e quindi analizzati con minore attenzione.
Per ridurre il rischio, molte organizzazioni stanno iniziando a disabilitare l’aggiunta automatica degli inviti esterni e ad aumentare i controlli sui messaggi MIME type text/calendar.
Diventa inoltre fondamentale includere gli inviti calendario nei programmi di security awareness, insegnando agli utenti a diffidare di meeting inattesi, richieste di autorizzazione OAuth anomale e notifiche che richiedono accessi immediati ai servizi cloud.
L’evoluzione del calendar phishing dimostra che il social engineering non sta più sfruttando solo la comunicazione e-mail tradizionale ma gli attaccanti stanno cercando nuove superfici di fiducia all’interno degli strumenti digitali utilizzati ogni giorno dalle aziende, trasformando nel caso specifico l’evento calendario in un nuovo vettore di attacco ad alta efficacia.
