Office 365, il cavallo di Troia per una nuova campagna di Phishing

La campagna, che prende di mira gli utenti del programma, sembra essere in corso già dalla metà del 2019 e sembra essere partita dalla Nigeria
6 MAG 20
Ultimo aggiornamento: 16:11
Immagine di Office 365, il cavallo di Troia per una nuova campagna di Phishing

Credit: Aaron Yoo

Una nuova campagna di phishing, altamente mirata, ha colpito i dirigenti di alto livello di oltre 150 aziende in tutto il mondo, rubando documenti riservati e liste di contatti, secondo una ricerca recentemente pubblicata.
La campagna, che prende di mira gli utenti di Office 365, sembra essere in corso già dalla metà del 2019 e sembra essere partita dalla Nigeria. Circa la metà delle organizzazioni cadute vittima dell'attacco sono società di servizi finanziari, con studi legali e società immobiliari a seguire.
La campagna ha compromesso gli account di oltre 150 dirigenti e manager di alto rango in istituti finanziari multinazionali e regionali come gli Stati Uniti, il Canada, la Germania, il Regno Unito, i Paesi Bassi, Hong Kong, Singapore e altre località, raccontano gli esperti. Soprannominata "PerSwaysion", un gioco di parole che deriva dal fatto che gli attacchi utilizzano spesso Microsoft Sway e altri strumenti cloud per cercare di convincere gli utenti a visitare pagine di phishing dall'aspetto legittimo e a inserire le proprie credenziali di accesso.

Un attacco in tre fasi

I criminal hacker dietro questa campagna si avvalgono di legittimi strumenti Microsoft cloud - tra cui Sway, SharePoint e OneNote - per far sembrare legittimi i loro tentativi di compromissione degli account di Office 365. L'attacco sfrutta le ultime tecniche di social engineering e si sviluppa in tre fasi separate:

Perché Office 365?

Gli utenti di Office 365 rimangono un obiettivo primario per gli aggressori, il più delle volte tramite campagne di phishing. La mancanza di autenticazione multifattoriale e il supporto per l'autenticazione di base sono uno dei motivi principali che li rende così appetibili della loro esposizione. Basti pensare che da uno studio campione su oltre 1.000 incidenti di Cyber Security nel 2019, il 38% di questi è riconducibile ad attacchi di phishing. Di questi, il 31% ha riguardato direttamente una violazione di account Office 365. Gli attacchi di phishing rivolti agli utenti di Office 365 mirano in genere a ingannare i destinatari per indurli a trasferire denaro agli aggressori, tramite fatture false o altri trucchi. Questi attacchi, anche se all'apparenza non troppo sofisticati si sono rivelati comunque molto lucrativi (si veda il caso di Maire Tecnimont).
Nel caso di PerSwaysion, almeno finora, non è stato possibile rintracciare alcun dato esfiltrato e venduto sul Dark Web, anche se potrebbe volerci più di qualche giorno prima di cominciare a vedere le tracce dell'attacco. Dato che la campagna PerSwaysion sta prendendo piede e il numero delle vittime è in crescita, è probabile che i dati siano ancora in fase di elaborazione da parte dei criminal hacker per determinarne il valore. Non è chiaro il motivo per cui il kit di phishing PerSwaysion sia stato creato per la prima volta, ma sappiamo che attualmente, il kit di circola solo tra un numero limitato di gruppi di criminal hacker specializzati nel phishing. Finora non ci sono prove di vendite sul Dark Web della versione corrente. Nonostante questo, sappiamo che il settore dei servizi di Cyber Crime, in continua espansione, rende più facile che mai per gli aggressori, che potrebbero non avere competenze di codifica avanzate, trovare sviluppatori in grado di fornire loro strumenti di hacking e phishing sufficientemente avanzati da consentire loro di ottenere una fonte di profitto stabile.