Attenzione! Gli attacchi di phishing diventano più intelligenti con la convalida delle email in tempo reale
I criminali informatici stanno alzando l'asticella con una nuova, inquietante svolta nel furto di credenziali, utilizzando la convalida delle email in tempo reale per rendere gli attacchi di phishing più efficienti e difficili da rilevare. I ricercatori di Cofense hanno identificato questa tattica in evoluzione e l'hanno soprannominata "phishing con convalida di precisione": un metodo che restringe l'elenco dei bersagli ai soli indirizzi email confermati come attivi e di valore.
A differenza delle tradizionali campagne di phishing che tendono una rete ampia e sperano in qualche abbocco, questo nuovo approccio è preciso e deliberato. Invece di inviare pagine di accesso fraudolente a utenti casuali, gli aggressori verificano prima che l'indirizzo email inserito in una pagina di phishing esista nel loro database di obiettivi pre-raccolti. Se l'indirizzo email è corretto, alla vittima viene presentata una schermata di accesso falsa progettata per rubare le credenziali. In caso contrario, viene reindirizzata a un sito innocuo come Wikipedia, che aiuta il sito di phishing a evitare il rilevamento da parte degli scanner di sicurezza automatici.
Questa verifica in tempo reale è resa possibile dall'integrazione di uno strumento di convalida email basato su API o JavaScript nel kit anti-phishing. Il risultato? Dati rubati di qualità superiore, meno sforzi sprecati e una campagna di phishing più difficile da individuare e bloccare per gli strumenti di sicurezza informatica.
Sommario
Filtrare le vittime per ottenere il massimo impatto
Cofense avverte che questa tecnica non solo aumenta le probabilità di furto di credenziali da account reali e in uso, ma complica anche il lavoro dei sandbox automatici e degli strumenti di scansione progettati per individuare siti web dannosi. Questi sistemi spesso non superano il controllo di convalida, consentendo alla pagina di phishing di rimanere attiva più a lungo ed evitare di essere segnalata come sospetta.
Questo livello di filtraggio offre agli autori delle minacce un vantaggio significativo. Concentrandosi su obiettivi verificati, riducono il rischio di esposizione e aumentano il ritorno sull'investimento. Questa tattica contribuisce inoltre a prolungare la durata delle campagne di phishing, rendendo più difficile per i difensori tenere il passo.
Il trucco del phishing per l'eliminazione dei file utilizza un attacco a due punte
Ad aumentare il pericolo, gli aggressori stanno combinando queste tattiche avanzate con strategie di ingegneria sociale. Una campagna osservata di recente utilizza promemoria per l'eliminazione dei file come esca. Le vittime ricevono un'e-mail che sembra contenere un collegamento a un PDF programmato per l'eliminazione da una piattaforma di file hosting legittima, files.fm. Cliccando sul collegamento, vengono effettivamente indirizzati al servizio di hosting originale, dove possono accedere a quello che sembra un file PDF.
Ecco il problema: agli utenti vengono presentate due opzioni: anteprima o download. L'anteprima apre una falsa pagina di accesso Microsoft destinata a raccogliere le credenziali, mentre il download attiva l'installazione di un file eseguibile mascherato da Microsoft OneDrive. Il programma è in realtà ScreenConnect, uno strumento di desktop remoto legittimo di ConnectWise, spesso sfruttato dagli autori delle minacce per accessi non autorizzati.
Secondo Cofense, l'attacco è progettato in modo intelligente per manipolare il comportamento degli utenti. Le vittime sono costrette a scegliere tra due opzioni ugualmente pericolose, ciascuna delle quali porta alla compromissione del loro sistema in modi diversi. Questa configurazione a due punte garantisce che l'autore della minaccia raggiunga il suo obiettivo, che si tratti del furto di credenziali o della distribuzione di malware.
Phishing combinato con accesso remoto e tattiche di vishing
In un altro sviluppo allarmante, i ricercatori di sicurezza informatica hanno scoperto una campagna di attacco a più fasi che combina phishing con truffe telefoniche (vishing), strumenti di accesso remoto e tecniche di "living-off-the-land". Questa sofisticata operazione è in linea con il gruppo di attori di minaccia Storm-1811 (noto anche come STAC5777).
L'attacco inizia con un messaggio di Microsoft Teams contenente un payload di PowerShell dannoso. Una volta ottenuto l'accesso iniziale, gli aggressori utilizzano la funzionalità Quick Assist di Microsoft per controllare da remoto il sistema. Da lì, installano software legittimo come TeamViewer insieme a una DLL dannosa trasferita lateralmente e infine distribuiscono una backdoor di comando e controllo basata su JavaScript utilizzando Node.js.
Questi incidenti evidenziano la crescente complessità e creatività delle attuali minacce di phishing. Con tattiche che combinano sofisticatezza tecnica e manipolazione psicologica, gli aggressori riescono a eludere le difese tradizionali e a ingannare anche gli utenti più prudenti.
La migliore difesa continua a essere la vigilanza. Le organizzazioni devono rimanere informate su queste minacce emergenti e gli utenti devono pensarci due volte prima di cliccare su link, inserire credenziali o scaricare file, indipendentemente da quanto possano sembrare legittimi.