Microsoft ha preso il controllo e messo offline una serie di domini utilizzati dai cyber attaccanti come parte integrante delle infrastrutture necessarie per lanciare massivi attacchi di phishing finalizzati al furto dei dati sfruttando la paura della pandemia.
L'elenco dei domini attaccati è stato redatto dalla Digital Crimes Unit di Microsoft: sono tutti domini individuati mentre erano in uso per tentativi di compromissione degli account di utenti Microsoft nel Dicembre 2019. La maggior parte di questi erano usati per attacchi di phishing comuni, ma una parte consistente era invece usata per attacchi BEC, nei quali si cerca di convincere un addetto ai pagamenti dell'azienda (spesso tramite furto d'identità di un superiore) ad effettuare versamenti verso conti bancari controllati dagli attaccanti.
La tipologia di attacco più diffusa tramite questi domini prevedeva l'uso della paura del Covid per accedere e prendere il controllo degli account Office 365, concedendo l'accesso ad app dannose controllate dagli attaccanti.
"Oggi il tribunale distrettuale degli Stati Uniti, distretto orientale della Virginia, ha svelato i documenti che descrivono i dettagli del lavoro svolto da Microsoft per bloccare la rete di criminali informatici che stava utilizzando la pandemia Covid come copertura per frodi contro clienti Microsoft in più di 62 paesi nel mondo" ha spiegato qualche giorno fa Tom Burt, Vice President for Customer Security & Trust di Microsoft Corporate.
Tra i domini messi offline, usati per l'host di web app dannose, troviamo officeinvetorys[.]com, officehnoc[.]com, officesuited[.]com, officemtr[.]com, officesuitesoft[.]com e mailitdaemon[.]com
Fonte: Microsoft |
Nella foto sopra un esempio di queste app dannose che sfruttavano l'OAuth, abbreviazione di Open Authorization, un protocollo di rete standard e aperto per l'autorizzazione API sicura.
I primi giorni di Aprile Microsoft aveva dichiarato che il volume effettivo di attacchi non era aumentato dall'inizio della pandemia: ciò che era cambiato è che le stesse infrastrutture usate per lanciare precedenti campagne di attacco erano in uso per campagne di attacco rimodellate per sfruttare le paure che ruotano attorno al Covid19. A ribadire che non è che, improvvisamente, gli attaccanti hanno avuto a disposizione più risorse che nel passato: hanno semplicemente modificato gli attacchi per sfruttare un'onda facilmente cavalcabile con qualche trucchetto di ingegneria sociale.
Solo ad Aprile furono circa 60.000 gli attacchi individuati da Microsoft, che comportarono milioni di email mirate con messaggi afferenti al Covid. Migliaia e migliaia di campagne di phihing settimanali: "in un solo giorno furono individuati 18.000 URL e indirizzi IP correlati ad attacchi a tema Covid19" racconta Rob Lefferts, al tempo Vice Presidente per la sicurezza di Microsoft 365.
Solo ad Aprile furono circa 60.000 gli attacchi individuati da Microsoft, che comportarono milioni di email mirate con messaggi afferenti al Covid. Migliaia e migliaia di campagne di phihing settimanali: "in un solo giorno furono individuati 18.000 URL e indirizzi IP correlati ad attacchi a tema Covid19" racconta Rob Lefferts, al tempo Vice Presidente per la sicurezza di Microsoft 365.
I domini messi offline per proteggere i clienti
Microsoft ha fatto sapere che alcuni dei domini usati per queste campagne a tema Covid erano in uso ad attori sponsorizzati da stati nazione, nell'ambito di quella cyberwar che, talvolta a bassa intensità talvolta ad alta, sta sconvolgendo i rapporti tra Stati da qualche anno.
Microsoft ha quindi deciso di muoversi tempestivamente, dato che improvvisa e repentina è stata la "conversione" dei cyber attaccanti all'uso del Covid come copertura e mezzo per i propri attacchi. E' stato uno di quei rari casi in cui una azienda "civile", quindi non forze dell'ordine appositamente preposte, ha effettuato attacchi mirati contro infrastrutture gestite da cyber criminali al fine di proteggere utenti e clienti.
Nella stessa campagna di protezione dei clienti è rientrato anche il takedown dell'infrastruttura usata dalla botnet Necurs, che rimane a tutt'oggi la più grande infrastruttura di distribuzione di campagne di attacco, con 3.8 milioni di email di spam inviate ogni giorno.
Nessun commento:
Posta un commento