Campagne di phishing che utilizzano link riscritti

31 luglio 2024

Negli ultimi tre mesi, i ricercatori di minacce di Mimecast hanno rilevato e monitorato attori di minacce che utilizzano link riscritti da diverse soluzioni di sicurezza, inclusa Mimecast, per mascherare le loro intenzioni dannose. Si prevede che l'elenco delle soluzioni di sicurezza email abusate aumenterà. Sebbene questa tecnica non sia nuova, l'adozione diffusa di questo metodo che coinvolge diverse soluzioni di sicurezza email, soprattutto a giugno, indica il coinvolgimento di attori delle minacce altamente organizzati e informati.

Gli attori delle minacce continuano a sfruttare strumenti e soluzioni legittimi, generalmente considerati affidabili, per eludere il rilevamento e ingannare gli utenti finali. Di seguito sono riportati un paio di esempi di email di phishing utilizzate in queste campagne. Queste email di solito contengono riferimenti personalizzati all'azienda bersaglio, aggiungendo un livello di sofisticazione a questa operazione su larga scala. L'intento principale di queste email sembra essere la raccolta di credenziali, che potrebbero poi essere utilizzate per ulteriori attacchi o vendute a scopo di lucro.

Esempio numero 1

Esempio numero 2

Flusso della campagna
​

• Un account utente compromesso a causa di vari metodi di attacco fornisce all'attore delle minacce un mezzo per generare link riscritti. 
• Un'email contenente un link dannoso viene inviata agli account compromessi, che utilizzano la soluzione di sicurezza email per riscrivere l'URL. 
• L'attore delle minacce utilizza l'account compromesso per verificare se l'URL dannoso viene rilevato.
• Se l'URL non viene rilevato, l'URL riscritto viene inserito nei loro modelli di phishing e inviato ai loro obiettivi.
• Le campagne sono state osservate da diverse fonti di posta elettronica, account compromessi, soluzioni di sicurezza per email e domini creati manualmente. 

Protezione Mimecast
​

• Abbiamo identificato diversi attributi nelle campagne che utilizzano i link riscritti di Mimecast, i quali sono stati aggiunti alle nostre capacità di rilevamento.
• Continuiamo a monitorare eventuali account dei clienti che potrebbero essere stati compromessi e ci assicuriamo che vengano intraprese le azioni necessarie.

Obiettivi:
​

Globale, tutti i settori

Servizi abusati individuati: 

Qualsiasi soluzione di sicurezza email che riscrive i link può potenzialmente essere sfruttata in questo tipo di campagna, e l'elenco dei servizi abusati identificati al momento è destinato a crescere:

• Mimecast: url.uk.m.mimecastprotect.com
• Barracuda: linkprotect.cudasvc.com
• Proofpoint: urldefense.proofpoint.com
• Darktrace: us01.z.antigena.com
• Intermedia: url.emailprotection.link
• TitanHq: linklock.titanhq.com
• Bitdefender: linkscan.io
• Hornet Security: atpscan.global.hornetsecurity.com
• Viper Security: url2.mailanyone.net
• Topsec: scanner.nextgen.topsec.com

Oggetti:

Esistono diverse varianti

• Scadenza per la presentazione del rapporto sui timesheet cc08618ea37625e4f9f7b330bded9dc3
• È stato attivato un allarme di gravità
• Avviso di scadenza
• Email di riepilogo delle reazioni 22 luglio 2024 alle 16:08:27
• Documento condiviso con Lei

Raccomandazioni
​

• Assicurati che la tua politica di scansione anti-spam sia impostata sul livello consigliato "Moderato".
• Abilita la registrazione dei dispositivi all'interno di TTP URL Protect, che garantisce una notevole riduzione della diffusione di qualsiasi URL creato nella campagna.
• Controlla i registri TTP URL Protect per verificare se i tuoi utenti hanno avuto accesso a uno dei servizi oggetto di abuso.
• Esamina i log di autenticazione (Mimecast, Microsoft Entra, ADFS ecc.) associati agli utenti che hanno interagito con gli URL abusati per determinare se esiste una potenziale compromissione.
• Assicurarti che eventuali account compromessi siano esaminati, risolti immediatamente e che venga implementato un monitoraggio per rilevare eventuali attività insolite.
• Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.