Mimecast Logo
Richiedi un preventivo

    Campagna di phishing mirata alla piattaforma di premi per i dipendenti Awardco

    18 agosto 2025

    Di Hiwot Mendahun, Ankit Gutpa e il team di ricerca sulle minacce di Mimecast

    Punti principali
    • Campagna protrattasi per diversi mesi, in cui i malintenzionati si spacciano per dipendenti della piattaforma di premi Awardco, che dal maggio 2025 prende di mira intere organizzazioni
    • Tecniche sofisticate di elusione che utilizzano catene di reindirizzamento multiple, soluzioni URL di sicurezza legittime e vari metodi di distribuzione, tra cui i codici QR
    • La campagna sfrutta l’aspettativa comune dei dipendenti riguardo alle comunicazioni relative ai programmi di incentivazione per massimizzare la portata
    • Si ritiene che l’operazione sia riconducibile all’operazione di minaccia MCT03028, monitorata internamente, che dispone di risorse significative e impiega tecniche in continua evoluzione

    Panoramica della campagna

    Hiwot Mendahun, Ankit Gupta e il team di ricerca sulle minacce di Mimecast hanno individuato una campagna su vasta scala, protrattasi per diversi mesi, che prendeva di mira diverse organizzazioni spacciandosi per Awardco, una piattaforma ampiamente utilizzata per i premi e il riconoscimento dei dipendenti. Questa campagna è attribuita a un’operazione di minaccia identificata internamente con il codice MCT03028 e rappresenta una sfida significativa in termini di rischio per il personale, poiché sfrutta l’aspettativa diffusa che i dipendenti ricevano comunicazioni relative a premi, benefici e programmi di riconoscimento sul posto di lavoro.

    A differenza degli **targeted attack** che prendono di mira ruoli o reparti specifici, l’usurpazione dell’identità di Awardco può colpire efficacemente intere organizzazioni, poiché tutti i dipendenti interagiscono solitamente con le piattaforme di premi e si aspettano di ricevere le relative notifiche. A partire dal maggio 2025, gli autori delle minacce hanno dato prova di notevole tenacia e sofisticatezza, avvalendosi di vari account compromessi, di molteplici servizi di reindirizzamento e di diversi metodi di diffusione per mantenere l’efficacia delle loro campagne. Tali attacchi sfruttano la fiducia che i dipendenti ripongono di norma nelle comunicazioni ufficiali relative ai benefici aziendali, rendendo questa minaccia particolarmente pericolosa dal punto di vista della gestione dei rischi legati al fattore umano. I dipendenti si aspettano naturalmente di ricevere comunicazioni relative ai programmi di incentivazione, al riconoscimento delle prestazioni e agli aggiornamenti sui benefici, il che crea un’opportunità ideale di ingegneria sociale per gli autori delle minacce.

    Le campagne si sono evolute nel corso di questi quattro mesi, dimostrando la capacità di adattamento degli autori delle minacce e la disponibilità di risorse a loro disposizione. Inizialmente basata su semplici reindirizzamenti tramite domini compromessi, l’operazione si è evoluta fino a includere sofisticate catene di reindirizzamento a più fasi, meccanismi di distribuzione tramite codici QR, diffusione tramite SMS e l’uso improprio di servizi di sicurezza legittimi.

    Awardco Phishing 1.png

    Awardco Phishing 2.png

    Awardco Phishing 3.png

    Tale evoluzione indica un’operazione di minaccia dotata di risorse adeguate e di capacità di sviluppo continuo. L'efficacia psicologica di questa campagna deriva dal fatto che essa sfrutta procedure legittime presenti sul posto di lavoro. A differenza delle comunicazioni esterne sospette, le notifiche di Awardco sembrano provenire da processi aziendali previsti, riducendo in modo significativo i sospetti dei dipendenti e aumentando i tassi di coinvolgimento.

    Analisi tecnica

    Gli autori delle minacce hanno utilizzato diverse varianti di catene di reindirizzamento nel corso delle campagne, dimostrando sofisticate capacità di elusione. Quello che segue rappresenta un esempio risalente al 1° agosto 2025, in cui sono stati utilizzati in totale 9 reindirizzamenti, compresa una pagina CAPTCHA prima della pagina finale di phishing.

    Awardco Phishing 4

    Le campagne presentano modelli tecnici ricorrenti, tra cui la codifica Base64, l’uso improprio di servizi legittimi (AWS SES, Sophos, Google Sites) e l’impiego strategico di account di Business Email compromessi per rafforzare la credibilità. Gli autori delle minacce sembrano prediligere gli account Amazon SES, probabilmente compromessi, ricorrendo in parte anche ad account Office 365 per la distribuzione.

    Protezione Mimecast

    Mimecast ha implementato un sistema di rilevamento delle campagne di spoofing ai danni di Awardco. Il nostro team di ricerca sulle minacce continua a monitorare i cambiamenti nelle tattiche e nelle tecniche utilizzate da questi autori di minacce, al fine di garantire che i nostri clienti rimangano protetti dai vettori di attacco in continua evoluzione.

    Indicatori di compromissione (IOC)

    Abuso dell'infrastruttura di reindirizzamento:

    • c.podium.co - Servizio di tracciamento dei clic offerto da Podium
    • sites.google.com - Google Sites
    • sales-engage.com - Servizio HubSpot Sales Engage
    • eu-central-1.protection.sophos.com - Servizio di riscrittura dei link di Sophos
    • 86nxjchv.r.us-east-1.awstrack.me - Tracciamento AWS
    • mop.bz - Servizio di accorciamento degli URL

    Pagine di phishing ospitate su:

    • Soundorama[.]com/index[.]html
    • Soundorama[.]com/lol[.]html
    • tuicorp[.]com/awardco[.]html
    • capnco[.]com/go/iex[.]html

    Numeri di telefono:

    • (417) 397-7374 (invio tramite SMS)

    Argomenti

    • La Sua carta regalo elettronica da 400 dollari scadrà oggi
    • Avviso di scadenza dei punti Awardco da 200 dollari
    • URGENTE: l'accesso amministrativo a Awardco scadrà tra 5 ore
    • Congratulazioni!!!

    Raccomandazioni

    Misure di sicurezza per la posta elettronica

    • Analizzate le catene di reindirizzamento avanzate, assicurandovi di essere in grado di seguire sequenze complete attraverso più servizi legittimi
    • Implementare regole di rilevamento specifiche per i modelli di abuso di AWS SES, combinate con tematiche relative ai benefici per i dipendenti e al marchio Awardco
    • Implementare l'analisi in tempo reale dei codici QR per individuare link di phishing incorporati e modelli di reindirizzamento sospetti

    Formazione sulla sensibilizzazione alla sicurezza degli utenti

    • Informare tutti i dipendenti sui rischi legati all’usurpazione dell’identità di Awardco, sottolineando che si tratta di minacce rivolte a tutti piuttosto che specifiche per determinati ruoli
    • Istruite gli utenti a verificare le comunicazioni relative al programma fedeltà attraverso i canali interni prestabiliti prima di cliccare su qualsiasi link
    • Eseguire simulazioni complete di phishing che integrino diversi vettori di attacco: link contenuti nelle e-mail, codici QR e scenari basati su SMS

    Ricerca proattiva delle minacce

    • Cercare nei registri delle ricevute e-mail le righe dell'oggetto corrispondenti
    • Esaminare i registri dei clic sugli URL per individuare eventuali pagine di phishing corrispondenti
    • Si raccomanda di monitorare eventuali schemi di reindirizzamento insoliti che coinvolgano servizi di sicurezza legittimi (Sophos, Google Sites) associati a tematiche relative a premi
    • Individuare i tentativi di ingegneria sociale tramite SMS che menzionano programmi di ricompensa o la riattivazione di account

    Monitoraggio

    • Attuare un monitoraggio dei reindirizzamenti sequenziali attraverso diversi servizi legittimi, in particolare quelli relativi al marchio dei benefici per i dipendenti
    • Si prega di monitorare eventuali eventi di autenticazione insoliti a seguito di presunti tentativi di usurpazione dell’identità di Awardco
    Back to Top