Microsoft ha assunto oltre 6 domini che utilizzavano truffe COVID-19 per dirottare gli account di Office 365

Nel dicembre 2019, un gruppo di criminali informatici ha avviato un'intelligente campagna di phishing rivolta a organizzazioni in 62 paesi in tutto il mondo. Il loro obiettivo era quello di dirottare alcuni account di Office 365 e ottenere l'accesso a qualsiasi cosa, dagli elenchi di contatti ai file sensibili. Microsoft ha notato l'attacco e ha preso provvedimenti per proteggere i propri clienti. Inizialmente la campagna fu interrotta, ma sfortunatamente le misure funzionarono solo per un breve periodo e gli hacker tornarono con un'altra ondata di attacchi.

Sorprendentemente o no, Microsoft è tornata in azione e, dopo aver identificato alcuni dei domini utilizzati durante la campagna, ha intentato azioni legali e ha chiesto di prenderne il controllo. Secondo un documento del tribunale pubblicato da ZDNet martedì, il colosso del software ora controlla sei domini che fino a poco tempo fa appartenevano ai criminali.

Questa è sicuramente una buona notizia, ma vediamo se la decisione del tribunale metterà definitivamente fine agli attacchi dei criminali.

Una truffa di phishing COVID-19 si rivolge agli utenti di Office 365

La truffa è iniziata con un'e-mail socialmente ingegnerizzata. I messaggi affermavano che un dipendente dell'organizzazione o un partner di fiducia condivideva un documento di Office 365 e inizialmente gli obiettivi erano stati pensati che facendo clic sul collegamento nell'e-mail avrebbero visto qualcosa come un rapporto finanziario trimestrale. Nel mezzo della pandemia di coronavirus, tuttavia, gli hacker hanno iniziato a mascherare i loro collegamenti malevoli come documenti commerciali relativi a COVID-19.

Come puoi immaginare, il collegamento nell'e-mail non ha portato a un documento di Office 365 con alcuna descrizione. Secondo ZDNet, ha prima inviato gli utenti al modulo di accesso legittimo di Microsoft e, dopo l'autenticazione riuscita, li ha reindirizzati a uno dei domini sequestrati.

Un attacco di phishing con una svolta

L'obiettivo finale degli aggressori era di acquisire l'account Office 365 del target, ma curiosamente non lo hanno fatto con l'aiuto delle credenziali di accesso. Invece, lo hanno fatto attraverso app di Office 365 dannose ospitate nei domini che Microsoft ora possiede.

L'uso efficiente di Office 365 in determinate organizzazioni dipende da varie app che migliorano la funzionalità o la sicurezza del servizio e gli utenti non sono estranei a collegarli ai propri account. Tutte le app di Office 365 richiedono autorizzazioni prima di connettersi all'account dell'utente e le applicazioni dannose dei truffatori non hanno fatto eccezione. Stupiti dall'aria di legittimità creata dal design delle app, le vittime che si sono innamorate della truffa hanno dato ai criminali informatici un accesso più o meno illimitato alle loro e-mail, file, elenchi di contatti e impostazioni. E lo hanno fatto senza rivelare le loro password.

È stato un sofisticato attacco Business Email Compromise (BEC) ed è difficile persino immaginare quanto possa costare. Il sequestro dei domini dannosi significa che le app non sono più attive e la campagna si è fermata per ora, ma sfortunatamente, stiamo lottando per vedere cosa potrebbe impedire ai criminali informatici di registrare nuovi domini e rinnovare i loro sforzi in qualsiasi momento.

Le app di Office 365 dannose rappresentano un vettore di attacco insolito e relativamente nuovo e, come puoi vedere, può essere spietatamente efficace. Le aziende e le organizzazioni che utilizzano i servizi di Microsoft non devono sottovalutarlo e devono includerlo nei loro modelli di minaccia il più rapidamente possibile.