Abbiamo osservato un considerevole aumento degli attacchi di phishing da quando il mondo si è trovato catapultato nella pandemia Covid 19. Nel corso delle nostre analisi abbiamo incrociato una campagna di spear phishing che mira individui di altro profilo per il furto di credenziali. Le email che abbiamo analizzato linkano ad una pagina fake di login che imita la pagina di login di Office 365. 

In questa campagna sono state osservate molte email inviate a obiettivi di alto profilo contenenti, come allegati, fatture fiscali / bollette dall'aspetto molto simile a documenti legittimi. Il testo di corredo invece contrassegna le email come riservate. Queste comunicazioni contengono anche informazioni relative al Covid-19 e i dettagli dei mittenti. Nella tipologia visibile in foto, il mittente finge di essere il CEO di una banca. 

Tuttavia, una veloce verifica del domain name del mittente renderà chiara la truffa. La call to action contenuta nella email integra un URL dannoso 

che contiene il nome dell'azienda della vittima e l'ID email, in formato criptata base64, della vittima bersaglio. 

Quando l'utente fa click su Open, viene reindirizzato ad una landing page fake che mostra un URL ancora differente rispetto a quello indicato sopra. La pagina di atterraggio è estremamente simile alla pagina ufficiale di login di Microsoft Office. 

La schermata successiva, per l'inserimento della password, mostra addirittura il logo dell'azienda bersaglio, l'email inserita dalla vittima e un messaggio contrassegnato come "Importante". Poco importa quale password viene inserita, questo step conduce sempre a un errore: uno stratagemma per convincere la vittima a fare click su "reset password". Il click sul comando di reset riporta ad una nuova pagina, con un nuovo URL contenente comunque l'ID email. 

L'analisi del traffico ha mostrato come la password che viene inserita assieme all'ID ermail viene inviata ad un server remoto nel traffico in background. 

L'analisi ha riguardato anche un tentativo di phishing molto simile che prevede, però, l'uso di messaggi email audio contenenti script integrati. Un esempio è visibile sotto. 

Lo script nell'email contiene un URL che porta l'utente verso un sito di phishing. Ecco come si mostra lo script una volta decriptato

Anche questa pagina è molto simile a quella legittima di Office 365 e, anche in questo caso, contiene il logo dell'azienda bersaglio. Una volta inserita la password, si ottiene subito un errore, al primo tentativo: l'errore mostrerà un messaggi di convalida in uscita, quindi reindirizzerà al clip audio. Le credenziali inserite verranno inviate ad un server remoto.