Mimecast Logo
Richiedi un preventivo

    Scattered Spider utilizza un CAPTCHA falso per eludere il rilevamento

    22 maggio 2025

    Di Samantha Clarke, Rikesh Vekaria, Ankit Gupta, Hiwot Mendahun e Jared Van Loon

    Punti principali

    Cosa imparerai in questa notifica

    • Oltre 150.000 campagne di phishing che si spacciano per fornitori di servizi quali SendGrid, HubSpot, Google e Okta
    • Inviate prevalentemente da account SendGrid in white label
    • Utilizzo di CAPTCHA falsi per eludere il rilevamento
    • Campagne recenti rivolte prevalentemente alle aziende dei settori della vendita al dettaglio e del software come servizio (SaaS) negli Stati Uniti e nel Regno Unito
    • Obiettivo della campagna: acquisizione di credenziali

    Il team di ricerca sulle minacce di Mimecast sta monitorando diversi gruppi di campagne di phishing correlate, iniziate a febbraio e che proseguono fino a maggio 2025. Queste campagne si spacciano per fornitori legittimi di servizi di posta elettronica (ESP), in particolare SendGrid, al fine di inviare notifiche fraudolente agli utenti finali. Le campagne includono spesso messaggi urgenti relativi a restrizioni sugli account, avvisi di accesso o segnalazioni di non conformità, che incoraggiano i destinatari a cliccare su un invito all’azione. Lo scopo di queste campagne sembra essere quello di raccogliere credenziali per l'invio di ulteriori e-mail di phishing. Nell’ambito del nostro processo di ricerca sulle minacce, abbiamo segnalato il fatto a SendGrid.

    Campagne di phishing di Okta contro i fornitori di servizi SaaS

    Tra aprile e maggio 2025, abbiamo rilevato una tendenza verso campagne di spear phishing rivolte a specifiche organizzazioni che offrono servizi Software-as-a-Service (SaaS), con diversi esempi che imitavano le procedure di accesso di Okta. Okta è una piattaforma di gestione delle identità e degli accessi (IAM) utilizzata da migliaia di organizzazioni in tutto il mondo e funge da porta d’accesso all’ambiente digitale di un’azienda. Le pagine di phishing presentano uno stile grafico ispirato al Single Sign-On (SSO), progettato per sfruttare la fiducia degli utenti e sottrarre le credenziali all’interno degli ambienti aziendali. Sembra che le campagne abbiano come obiettivo i dipendenti di alto livello che potrebbero disporre di un accesso privilegiato ai sistemi interni.

    Questa tattica è strettamente in linea con i metodi attribuiti al gruppo di hacker “Scattered Spider”, segnalato da Silent Push, noto per l’uso di tecniche avanzate di ingegneria sociale e di kit di phishing di tipo “adversary-in-the-middle” (AiTM). Fingendosi Okta e altri portali SSO, il gruppo mira a compromettere piattaforme SaaS di alto valore — quali i sistemi di gestione delle relazioni con i clienti e di assistenza — sottraendo credenziali di autenticazione e token di sessione. L'obiettivo è spesso quello di ottenere un accesso privilegiato ad ambienti sensibili, aggirare l'autenticazione a più fattori (MFA) e consentire il movimento laterale all'interno delle reti aziendali.

    Attacchi sparsi dei ragni - Immagine 1.png Attacchi sparsi dei ragni - Immagine 2.png

     

    Tattica: Finte schermate interstiziali CAPTCHA di Cloudflare

    Queste campagne utilizzano falsi pop-up CAPTCHA di Cloudflare come meccanismo chiave di elusione. Gli autori dell'attacco visualizzano una pagina Cloudflare contraffatta con un Ray ID statico prima di reindirizzare gli utenti alla pagina di destinazione del phishing. Questa tecnica simula una richiesta legittima del browser per eludere i sistemi automatici di scansione delle e-mail e degli URL.

    Attacchi sparsi dei ragni - Immagine 3.png

     

    ID Ray di Cloudflare contraffatto, come si è visto nelle campagne di phishing di Sendgrid. Nei campioni rilevati nel corso delle campagne di phishing, l’ID Ray rimane invariato, ma può comparire in diversi tipi di tag HTML.

    Attacchi sparsi dei ragni - Immagine 4.png

     

    Ray-ID autenticodi Cloudflare rilevato in una campagna non correlata, che <code>contiene un Ray-ID autentico all’interno dei tag>del codice <.

    Attacchi sparsi dei ragni - Immagine 5.png

     

    I servizi CAPTCHA affidabili, quali Cloudflare e Google reCAPTCHA, richiedono in genere chiavi API associate a domini verificati e applicano limiti di frequenza e misure di protezione contro i bot. Utilizzando CAPTCHA falsi, gli autori delle minacce possono aggirare tali restrizioni, ottenendo così un maggiore controllo e una maggiore flessibilità nella realizzazione delle loro campagne di phishing.

    Inoltre, numerose campagne di phishing che si spacciano per servizi quali SendGrid e Okta hanno costantemente riutilizzato modelli realizzati con Create React App (CRA). CRA è un framework di sviluppo che consente agli hacker di implementare rapidamente pagine basate su React con una configurazione minima. Queste pagine conservano spesso i metadati e le risorse predefiniti del modello "Create React App", il che costituisce un chiaro indicatore della presenza di un'infrastruttura di phishing basata su kit. Tra gli elementi comuni a questi portali di accesso fasulli figurano: <meta name="description" content="sito web creato utilizzando create-react-app"> , <link rel="apple-touch-icon" href="/logo192.png"> , e <link rel="manifest" href="/manifest.json">, insieme a elementi non personalizzati <title> quali “React App” o “Verifica SendGrid”. Il riutilizzo di risorse statiche come main.[hash].js e main.[hash].css ciò suggerisce che gli autori degli attacchi stiano distribuendo versioni clonate con solo lievi modifiche estetiche.

    Attacchi sparsi dei ragni - Immagine 6.png

     

    Gli URL di phishing rilevati in queste campagne seguono schemi strutturali coerenti, concepiti per simulare servizi aziendali affidabili. Molti domini contengono parole chiave quali sso, login, account o sicurezza e spesso riprendono le convenzioni di denominazione delle infrastrutture cloud (ad esempio, aws-us3-manageprod.com, portal-sendgrld.com). Il fenomeno dello “typo squatting” è piuttosto diffuso e consiste nell’apportare lievi modifiche ai nomi di marchi quali SendGrid o Google.

    Un gran numero di domini utilizzati in queste campagne di phishing è registrato tramite NICENIC INTERNATIONAL GROUP CO., LIMITED, un registrar spesso associato ad abusi e particolarmente utilizzato da Scattered Spider nelle proprie campagne sin dalla fine del 2024. Il suo fascino risiede nella procedura di registrazione semplificata, con controlli minimi sull’identità, e nella risposta ritardata agli abusi, il che prolunga la durata dei siti dannosi. NICENIC offre inoltre, di default, la protezione della privacy WHOIS, rendendo più difficile l'attribuzione e il tracciamento. I ricercatori di Mimecast specializzati in minacce hanno effettuato verifiche manuali per individuare chi avesse registrato i domini citati nella sezione IOC, confermando tali schemi, in linea con i dettagli riportati nell’articolo sul “silent push”. Questa combinazione di accessibilità e anonimato ne fa un’opzione allettante per gli autori delle minacce che intendono implementare e alternare rapidamente i domini.

    Nelle recenti campagne, il team Mimecast Threat Research ha osservato la trasmissione di credenziali sottratte. Il sito di phishing ospitato su sendgr.id-unlink[.]com acquisisce i dati di accesso e li invia tramite una richiesta POST all'indirizzo IP 185.208.156.251.

    L'indirizzo IP 185.208.156.251 è attivamente coinvolto in operazioni di phishing, fornendo un certificato TLS Let's Encrypt che protegge diversi domini sospetti, come indicato di seguito. Il certificato, valido dal 7 maggio al 5 agosto 2025, ovvero per pochi mesi, è ospitato su un’infrastruttura fornita da Global-Data System IT Corporation, un provider di hosting noto per l’offerta di server privati virtuali (VPS).

    Attacchi sparsi dei ragni - Immagine 7.png

    L'utilizzo di un certificato TLS valido fornito da Let's Encrypt conferisce un'apparenza di legittimità a questi siti di phishing, rischiando di indurre gli utenti a fidarsi di essi. Il raggruppamento di più domini legati al phishing sotto un unico certificato e indirizzo IP fa supporre l’esistenza di una campagna coordinata, che probabilmente si avvale di un’infrastruttura di backend condivisa per ottimizzare le operazioni.

     

    Protezione Mimecast

    Nelle recenti campagne abbiamo individuato diversi elementi che sono stati integrati nelle nostre capacità di rilevamento. Continuiamo a monitorare eventuali cambiamenti nelle tecniche utilizzate da questo attore malintenzionato.

    Obiettivi:

    Prevalentemente Stati Uniti, Regno Unito, settore retail, SaaS

    Indicatori di compromissione

    Domini individuati nel febbraio 2025

    complete-sendgrid[.]com
    response-crmsg[.]com
    da response11-sendgrid[.]com a response20-sendgrid[.]com
    responseinquiry-tos[.]com
    responsesendgrid[.]com
    review-termsconditions[.]com

    Settori individuati nell’aprile 2025

    aws-us3-manageprod[.]com
    internal-ssologin[.]com
    legalcompliance-login[.]com
    login-request[.]com

    login-enterprisesso[.]com
    mange-accountsecurity[.]com
    myhubservices[.]com
    password-internal[.]com
    portal-sendgrld[.]com
    production-us12[.]com
    service-settings[.]com
    sso-accountservices[.]com
    services-goo[.]com
    sso-gservices[.]com
    ssologinservices[.]net
    signon-directory[.]com
    grid-authority[.]com
    grid-network[.]com
    grid-sso[.]com
    sendgr.id-unlink[.]com
    appeal.grid-secureaccount[.]com
    grid-secureaccount[.]com
    send.grid-secureaccount[.]com
    Sgupgradegold[.]com
    grid-sso.com

    Domini creati di recente con possibili collegamenti a Scattered Spider

    oktacheck.it[.]com
    okta.ubzbpmwxvmskewyqbhsgbcxhdfmetr.micraclefoundations.it[.]com
    okta.athuymircrosovfts365ovaw.it[.]com

    IP

    185.208.156.251
    84.200.205.9

    Raccomandazioni

    • Formazione sulla consapevolezza degli utenti
      • La prima linea di difesa contro qualsiasi forma di phishing consiste nel fornire al proprio personale gli strumenti necessari per non fidarsi ciecamente di tutti i link e per individuare quelli dannosi o le pagine web malevole
      • Effettuate regolarmente simulazioni di phishing che includano scenari relativi alle autorizzazioni di Okta
      • Assicurarsi che gli utenti sappiano riconoscere attivamente gli attacchi di “affaticamento MFA” e sappiano come prevenirli
    • Revisione della politica di sicurezza
      • Si raccomanda di implementare un sistema di autenticazione a più fattori (MFA) efficace, dando priorità ai metodi resistenti al phishing. Disattivate le modalità di autenticazione meno sicure per ridurre in modo significativo il furto di credenziali, sebbene gli autori di attacchi sofisticati possano comunque tentare di metterle in atto.
      • Applicare politiche di accesso condizionato per concedere l'autenticazione e l'autorizzazione esclusivamente ai dispositivi forniti dall'organizzazione, riducendo in modo significativo gli accessi non autorizzati.
    • Caccia proattiva alle minacce
      • Si prega di effettuare la ricerca nei log di URL Protect utilizzando filtri specifici per i domini e gli ID RAY identificati, poiché ciò costituisce un indicatore chiave di compromissione.
      • Individuare gli eventi di autenticazione provenienti da intervalli IP sconosciuti, in particolare quelli associati a infrastrutture note degli autori degli attacchi
      • Eseguite una scansione alla ricerca di pagine di phishing basate su React che presentino metadati rivelatori, come il sito web ", creato utilizzando create-react-app"
      • Effettuare una ricerca nei registri delle ricevute di posta per individuare i messaggi associati a Sendgrid
    Back to Top