Negli ultimi sei mesi, il mondo digitale ha assistito a un’allarmante crescita degli attacchi di takeover di account count, una minaccia che ha colpito oltre 100 organizzazioni a livello globale, coinvolgendo più di 1,5 milioni di dipendenti: il tutto utilizzando il phishing di EvilProxy. I ricercatori di Proofpoint hanno rivelato questa preoccupante tendenza, mettendo in luce l’uso crescente di tecniche sofisticate da parte degli attori delle minacce.
Cloud account takeover, Proofpoint analizza EvilProxy
EvilProxy è un sistema di phishing basato su un’architettura di reverse proxy. Questo strumento consente agli attaccanti di rubare credenziali protette da autenticazione multi-fattore (MFA) e cookie di sessione. Proofpoint inoltre rileva l’aumento dell’approccio Adversary-in-the-Middle, che combina tecniche sofisticate di phishing con acquisizione avanzata di account.
La sicurezza aumenta, ma i cybercriminali alzano la sfida
L’adozione dell’autenticazione a più fattori (MFA) è aumentata negli ultimi anni come misura di sicurezza essenziale per proteggere gli account digitali. Tuttavia, controintuitivamente, crescono anche i casi di takeover di account tra i tenant che utilizzano questa protezione. Secondo i dati forniti da Proofpoint, almeno il 35% di tutti gli utenti compromessi nell’ultimo anno aveva abilitato l’MFA.
I cybercriminali stanno affinando le loro tecniche per compromettere gli account. Utilizzano automazione avanzata per identificare in tempo reale gli utenti vittime di phishing che possiedono un profilo di alto livello. Questo consente agli attaccanti di concentrare i loro sforzi sugli account più preziosi, ignorando quelli meno redditizi.
Come proteggere i tuoi dati? Scopri Bitdefender qui, Leader mondiale in Cybersecurity
L’aumento del phishing Adversary-in-the-Middle
Proofpoint sottoliena come l’uso del MFA sta portando attacchi più sofisticati alla ribalta. Il phishing Adversary-in-the-Middle (AitM), come il noto EvilProxy, riesce in fatti a sottrarre credenziali e cookie di sessione anche per chi utilizza l’autentificazione multifattore.
Grazie alla natura open source dei kit, i malintenzionati hanno riconosciuto un’opportunità nel mercato e hanno creato il concetto di “Phishing as a Service” (PhaaS) per l’MFA. Questa soluzione ha permesso a aspiranti criminali, anche con limitate competenze tecniche, di acquistare kit preconfigurati per varie piattaforme online (come Gmail, Microsoft, Dropbox, Facebook, Twitter, ecc.).
Con un’interfaccia point-and-click, dotata di opzioni personalizzabili quali il riconoscimento dei bot, l’uso di proxy e la limitazione geografica, i cybercriminali possono acquistare il pacchetto completo. Questa interfaccia semplice ha favorito un incremento considerevole delle operazioni di phishing MFA di successo.
Nonostante EvilProxy sia ampiamente riconosciuto per la sua efficacia come strumento di phishing, i ricercatori di Proofpoint hanno scoperto una preoccupante mancanza di consapevolezza tra gli utenti riguardo ai rischi associati e alle potenziali conseguenze.
I ricercatori di Proofpoint spiegano: “Le credenziali dei dipendenti sono molto apprezzate dagli attori delle minacce, in quanto possono offrire accesso a informazioni aziendali e account preziosi o sensibili. Sebbene le credenziali rubate offrano una moltitudine di vettori di attacco per i criminali informatici, non sono tutte uguali. Come dimostra la nostra ricerca, gli attori delle minacce spesso prendono di mira funzioni o reparti specifici con metodi e tecniche che devono evolversi costantemente, ad esempio trovando il modo di aggirare l’autenticazione a più fattori. Contrariamente a quanto si crede, nemmeno l’MFA è una difesa dalle minacce sofisticate basate su cloud. Una volta entrati, i malintenzionati possono nascondersi senza essere individuati in azienda e sferrare attacchi sofisticati a loro piacimento. I kit di phishing per il bypass dell’MFA stanno diventando onnipresenti, consentendo anche a criminali non tecnici di organizzare una campagna di phishing e indurre i dipendenti a consegnare i dati del proprio account.”
Come EvilProxy attacca gli account cloud del top management
Da marzo, Proofpoint sta monitorando una campagna ibrida che sfrutta EvilProxy per colpire account Microsoft 365, inviando circa 120.000 e-mail di phishing a centinaia di aziende mirate in tutto il mondo tra marzo e giugno 2023. Durante il phishing, gli attaccanti hanno utilizzato diverse tattiche:
- Hanno impersonato servizi affidabili come Concur Solutions, DocuSign e Adobe.
- Hanno bloccato le scansioni utilizzando la protezione dai bot per rendere più difficile l’analisi delle pagine web dannose.
- Hanno creato una catena di infezione attraverso reindirizzamenti su strumenti legittimi come YouTube, seguiti da passaggi come cookie dannosi e reindirizzamenti 404.
Nella fase iniziale, gli attaccanti hanno impersonato servizi noti, inviando e-mail di phishing con link a siti di phishing per Microsoft 365. Per evitare la scansione automatica, hanno usato una codifica speciale e siti Web legittimi con codice PHP per decodificare l’indirizzo e-mail dell’utente. Dopo la decodifica, l’utente è stato reindirizzato a una pagina di phishing personalizzata per l’organizzazione. Il traffico proveniente da IP turchi è stato reindirizzato a pagine legittime, suggerendo una possibile sede degli attaccanti.
La ricerca di Proofpoint ha rilevato che gli utenti colpiti includono dirigenti di alto livello e vicepresidenti di importanti aziende. Una volta ottenute le credenziali, gli attaccanti hanno potuto accedere agli account Microsoft 365 in pochi secondi grazie a un processo automatizzato semplificato. A differenza di altre campagne, questa si è focalizzata esclusivamente sugli obiettivi VIP, ignorando quelli di minore importanza. Questo approccio suggerisce l’uso di informazioni organizzative acquisite da fonti pubbliche.
Il bersaglio sono i manager
Tra gli utenti compromessi, il 39% erano dirigenti di primo livello, tra cui Chief Financial Officer (17%) e presidenti/amministratori delegati (9%). Gli attaccanti hanno dimostrato interesse anche per il management di livello inferiore, specialmente quelli con accesso a questioni finanziarie o dati sensibili.
Dopo aver ottenuto l’accesso, i cybercriminali hanno consolidato la loro presenza nell’ambiente cloud aziendale. Hanno sfruttato un’applicazione Microsoft 365 nativa per manipolare l’autenticazione a più fattori, usando “My Sign-in” per aggiungere il proprio metodo di autenticazione permanente agli account compromessi. La preferenza degli aggressori è stata per il metodo di autenticazione “App di autenticazione con notifica e codice”.
Il livello di attenzione per l’accesso agli account dei manager deve quindi alzarsi, potete approfondire sul sito di Proofpoint.
- Cervelli, Riccardo (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🧠 NVIDIA e le innovazioni che plasmeranno l’AI di domani
📡Connettività 5G: il futuro delle auto secondo Nokia
💻Presentati i nuovi laptop Dell Inspiron e le cuffie Wireless ANC
🍷L’Impatto del digitale nel settore vinicolo: lo studio di dAgency post-Vinitaly
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
