Mimecast Logo
Richiedi un preventivo

    Abuso di reindirizzamento URL Trustpilot


    23 luglio 2024

    Punti principali

    Cosa imparerai in questa notifica

    • Abuso dell'infrastruttura di Trustpilot e SendGrid.
    • Mirato prevalentemente ai settori dei servizi professionali, scientifici e tecnici.
    • L'intento principale era quello di rubare le credenziali dei destinatari probabilmente per venderle a scopo di lucro.
    Punti principali

    • Abuso dell'infrastruttura di Trustpilot e SendGrid.
    • Mirato prevalentemente ai settori dei servizi professionali, scientifici e tecnici.
    • L'intento principale era quello di rubare le credenziali dei destinatari probabilmente per venderle a scopo di lucro.
       

    Il 17 giugno 2024, i ricercatori di minacce di Mimecast hanno osservato una nuova campagna di phishing di reindirizzamento URL che usava Trustpilot. La campagna è iniziata bruscamente il 17 giugno. Le indagini hanno stabilito che era attribuibile agli URL di Trustpilot, generati da Sendgrid. Dopo una revisione, è stato determinato che sembra essere stato un evento di breve durata e di grande volume volto a reindirizzare gli utenti a una pagina di phishing per il furto di credenziali. Il grafico sottostante mette in evidenza l'attività legata a questa campagna.

    Trustpilot URL Redirect Abuse-image-1.webp

    Prima dell'uso attivo, la tecnica, insieme ad altre caratteristiche di stile e distribuzione, sembra essere stata accuratamente testata utilizzando account utente compromessi per garantire la consegna. Tra i picchi della campagna, sono stati effettuati ulteriori test e convalide per garantire il successo della consegna. Le email di phishing sono state inviate principalmente tramite un compromesso Microsoft 365 e il fornitore di servizi di posta elettronica KDDI. Di seguito è fornita una ripartizione dei provider di servizi email utilizzati.

    Abuso di reindirizzamento URL Trustpilot-image-2.webp

    Obiettivi:

    Prevalentemente mirato agli Stati Uniti, in diversi settori, ma con un'importanza particolare nei servizi professionali, scientifici e tecnici 

    Indicatori di compromissione

    Reindirizzamenti di Trustpilot:

    • hxxps://link.trustpilot.com/ls/click?upn=u001.7TXFvnJF4GMbcQqVAhZRa8-
      2FKsqcJJrXM5PriJjesPuYjvEDhc4u61YqxKeokTY4adTcM_r0aPuFam2OijKUCcDq4d
      NJZTUPWa70WxFXUt4Msr1TPSXE1rqhpUHZ9AfnLVE6EA5EXtoQpyf-2FfWDBC
      1bYEh6lTSdqycNmiUr9TST70VnC6S62SKSCraCoxe-2FU3kuJmXhYEm3koA34a-2BKr8dbNto67EZttUffEOZA127cGFwkK7I-2BydN9Q8sxLLQwLmx3MnDCb8PeVy
      5rZSTzAzzTz901Q-3D-3D

    Clicca qui per accedere all'elenco completo dei reindirizzamenti di Trustpilot

    Host di reindirizzamento:

    • info.ubergeek[.]tv
    • phyditis[.]ru

    Clicca qui per accedere all'elenco completo degli host di reindirizzamento

    TTP:

    • T1586.002 - Compromissione degli account: account email
    • T1566.002 - Phishing: Link di spearphishing
    • T1583.006 - acquisire infrastrutture: servizi web
    • T1608.005 - impostazione di funzionalità: collegamento al bersaglio

    Esplora gli articoli di intelligence sulle minacce

    14BLOG_1.jpg
    Threat Intelligence Blog
    Mimecast Threat Intelligence: How ChatGPT Upended Email 
    apr 17, 2025
    65BLOG_1.jpg
    Threat Intelligence Blog
    GhostGPT and email threat protection: A rising AI-driven threat  
    apr 01, 2025
    32BLOG_1.jpg
    Threat Intelligence Blog
    How GhostGPT introduces governance and compliance risks 
    mar 24, 2025
    Back to Top