Attacco di phishing Luna Moth
L'FBI (Federal Bureau of Investigation) statunitense ha emesso un avviso sugli attacchi di ingegneria sociale lanciati da un gruppo chiamato Luna Moth. Questo gruppo criminale dedito all'estorsione ha preso di mira gli studi legali negli ultimi due anni, utilizzando una combinazione di email di phishing e tecniche di ingegneria sociale telefonica per rubare dati sensibili e richiedere risarcimenti.
Sommario
Come funzionano: il manuale del callback phishing
Luna Moth, noto anche come Chatty Spider, Silent Ransom Group (SRG), Storm-0252 e UNC3753, è attivo almeno dal 2022. Si basa principalmente su una tattica chiamata callback phishing o attacco telefonico (TOAD). Le sue email di phishing, apparentemente innocue e incentrate su fatture e abbonamenti, inducono i destinatari a chiamare un numero di telefono per "annullare" un pagamento o un abbonamento.
Durante queste chiamate, gli aggressori guidano la vittima nell'installazione di un programma di accesso remoto, ottenendo così l'accesso non autorizzato ai suoi sistemi. Avendo il controllo di questi dispositivi, gli autori della minaccia raccolgono informazioni sensibili e procedono con richieste di estorsione per impedire che i dati vengano divulgati o venduti ad altri criminali informatici.
Da BazarCall all’impersonificazione IT
Si tratta dello stesso team dietro le precedenti campagne BazarCall che hanno diffuso ransomware come Conti . Dalla chiusura di Conti, Luna Moth ha intensificato i suoi sforzi. In particolare, a partire da marzo 2025, ha evoluto la sua strategia chiamando direttamente le persone prese di mira, fingendosi dipendenti del reparto IT. Questo approccio manipola i dipendenti inducendoli a partecipare a una sessione di accesso remoto, spesso con il pretesto di eseguire interventi di manutenzione notturna.
Strumenti del mestiere: integrarsi con software legittimi
Una volta concesso l'accesso, Luna Moth aumenta i privilegi e utilizza strumenti legittimi per esfiltrare i dati:
- Rclone
- WinSCP
- Zoho Assist
- Sincro
- AnyDesk
- Splashtop
- Atera
Trattandosi di autentici strumenti di gestione del sistema e di accesso remoto, spesso eludono il rilevamento da parte degli strumenti di sicurezza. Se il dispositivo compromesso non dispone di privilegi di amministratore, WinSCP Portable viene utilizzato per sottrarre i dati rubati. Pur essendo una tattica recente, si è dimostrata straordinariamente efficace, portando a molteplici compromissioni andate a buon fine.
Segnali di pericolo: indicatori di un attacco di falena lunare
Gli operatori della sicurezza informatica dovrebbero prestare attenzione ad alcuni segnali d'allarme:
- Email o messaggi vocali inaspettati da un gruppo anonimo che denuncia il furto di dati.
- Email relative al rinnovo dell'abbonamento per le quali è necessario effettuare una telefonata per evitare addebiti.
- Telefonate indesiderate da parte di presunti addetti IT che sollecitano l'accesso remoto al tuo dispositivo.
- Connessioni sospette effettuate tramite WinSCP o Rclone verso indirizzi IP esterni.
Attacchi ad alta velocità e spoofing dell’helpdesk
Le ricerche dimostrano che le campagne di phishing di callback "ad alta velocità" di Luna Moth si concentrano sui settori legale e finanziario degli Stati Uniti. Utilizzano piattaforme come Reamaze Helpdesk e altri software di desktop remoto. Solo a marzo 2025, Luna Moth ha registrato almeno 37 domini tramite GoDaddy. La maggior parte di questi domini falsifica gli helpdesk IT e i portali di supporto delle organizzazioni prese di mira.
Questi domini a tema helpdesk in genere iniziano con il nome dell'azienda presa di mira. Gli aggressori si affidano a un numero limitato di registrar e provider di nameserver, tra cui domaincontrol.com è il più comune.
State attenti!
Le campagne di Luna Moth evidenziano la necessità critica di essere vigili. Combinando strumenti fondamentali con tecniche di ingegneria sociale e spoofing di dominio, aggirano numerose difese e mettono a rischio i dati sensibili. Riconoscere le loro tattiche è il primo passo per proteggersi.
