L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato una nuova campagna di phishing attiva, che sfrutta come pretesto una falsa notifica di scadenza della casella e-mail.
Questo stratagemma è usato per ingannare gli utenti e sottrarre le loro credenziali di posta elettronica.
Indice degli argomenti
Come si presenta l’e-mail fraudolenta
Il messaggio truffaldino simula una comunicazione ufficiale, graficamente curata e con riferimenti a Microsoft Outlook, e invita l’utente a cliccare un link (https://isadoracavecappadocia[.]com/dev/, un sito WordPress di una struttura alberghiera turca presumibilmente compromesso, NdA) per evitare la sospensione del servizio di posta elettronica.
Si tratta di un tentativo di ottenere le credenziali dell’utente tramite una pagina di accesso fasulla, appositamente costruita per sembrare legittima.
“Qualora dato seguito al link proposto, la vittima viene reindirizzata ad una landing page malevola che riporta, in secondo piano, una verosimile configurazione delle proprie modalità di autenticazione; in primo piano viene presentato un pop-up che richiede l’inserimento del proprio account e-mail per procedere all’aggiornamento delle credenziali”, spiegano gli analisti ACN.
Come funziona la pagina di phishing
Di seguito, ecco una mia analisi di un blocco di codice della pagina di landing ancora online al momento della stesura di questo articolo.
In pratica, l’algoritmo implementato crea una finestra modale (popup) che chiede all’utente tramite form di inserire il proprio indirizzo e-mail con il pretesto di aggiornare la password e verifica con una funzione javascript la correttezza morfologica dell’indirizzo e-mail inserito.
Nello specifico il form instaura una comunicazione C2 tramite POST mentre la funzione JavaScript denominata closeModal() e presente tra i tag <script> e </script> si occupa di:
- ascoltare ogni cambiamento nel campo e-mail
- verificare che il valore sia un formato e-mail valido usando un’espressione regolare (/^[^\s@]+@[^\s@]+\.[^\s@]+$/) e, solo in caso positivo, abilitare il pulsante “Submit” (submitBtn.disabled = false) per l’avvio delle fasi successive.
Come descritto dallo stesso report dopo una breve animazione (un foglio che esce da una busta blu per lettera, NdA) e la richiesta di una password, la vittima verrà reindirizzata a una pagina di errore per un presunto blocco account.
In realtà proprio in quell’istante le credenziali eventualmente fornite sono già state inviate a una risorsa C2 sotto il controllo dell’attaccante.
Fonte: ACN.
Obiettivo dell’attacco
Il fine dell’attacco come detto è ottenere l’accesso alla casella e-mail della vittima. Con queste credenziali, i criminali così possono:
- accedere a informazioni sensibili e personali,
- diffondere ulteriori campagne phishing,
- compromettere altri account associati alla stessa e-mail.
Consigli pratici per utenti e organizzazioni
Si raccomanda per gli utenti di:
- non cliccare sul link contenuto nel messaggio;
- non inserire credenziali di alcun tipo;
- informare immediatamente il proprio referente tecnico o il responsabile della sicurezza informatica, o segnalare il messaggio attraverso i canali interni previsti;
- abilitare se possibile l’autenticazione MFA.
Per le organizzazioni, è importante:
- Sensibilizzare il personale con formazione anti-phishing;
- Utilizzare soluzioni anti-spoofing (SPF, DKIM, DMARC);
- Monitorare anomalie di accesso e attivare logging centralizzato.
Conclusioni
Questa campagna dimostra ancora una volta quanto sia importante mantenere alta l’attenzione. Anche una semplice e-mail può essere il punto d’ingresso per una compromissione più ampia.
L’ACN invita chiunque riceva messaggi sospetti a non interagire con i contenuti ed ai referenti della sicurezza di valutare la verifica e l’implementazione, sui propri apparati, degli Indicatori di Compromissione forniti.
Di seguito la cristallizzazione della pagina di landing su urlscan.
