I truffatori cercano di rubare le credenziali di accesso a Microsoft 365 di persone che lavorano nelle forze armate statunitensi, nel software di sicurezza, nella catena di approvvigionamento manifatturiera, nelle aziende sanitarie e farmaceutiche, con un'elaborata campagna di phishing che utilizza messaggi vocali falsi e pagine di accesso Microsoft false.

I dipendenti di queste aziende hanno ricevuto notifiche e-mail false in cui si affermava che qualcuno della loro organizzazione aveva inviato loro un messaggio vocale.

L'e-mail stessa sembra provenire dall'azienda, ma la società di sicurezza cloud ZScaler ha scoperto che il vero mittente sta effettivamente abusando di un servizio di posta elettronica giapponese per nascondere il suo indirizzo e la sua vera identità (si apre in una nuova scheda).

Se la vittima ha abboccato e cliccato sull'allegato e-mail HTML, verrebbe prima reindirizzata a un controllo CAPTCHA, il cui scopo è duplice: eludere gli strumenti anti-phishing e convincere la vittima della sua legittimità.

furto di credenziali

Una volta che la vittima ha superato il captcha, viene reindirizzata (si apre in una nuova scheda) al sito di phishing effettivo, una pagina di destinazione che sembra identica alla pagina di accesso di Microsoft 365. È qui che, se le vittime inseriscono le proprie credenziali, verranno visualizzate condividerli con gli attaccanti.

I truffatori sono molto richiesti per gli account Microsoft 365 perché offrono un tesoro di informazioni preziose che possono portare a devastanti attacchi di seconda fase. I criminali possono utilizzarlo per distribuire malware (si apre in una nuova scheda) e ransomware, installare cryptominer su server potenti e persino sferrare attacchi alla catena di approvvigionamento altamente distruttivi.

L'attacco alla catena di approvvigionamento di Solar Winds, che ha preso di mira agenzie governative, istituzioni e diverse aziende tecnologiche leader negli Stati Uniti, è iniziato con un account Microsoft 365 compromesso.

Nel dicembre 2020 è stato scoperto un massiccio sforzo di spionaggio informatico che ha contaminato la catena di fornitura del software tramite un falso aggiornamento del software SolarWinds. Appuntato su hacker russi sponsorizzati dallo stato, l'attacco ha colpito nove agenzie federali, oltre a numerose società del settore privato.

Ci sono state diverse udienze del Congresso sull'hacking di SolarWinds e l'incidente ha anche portato a sanzioni contro diverse società russe di sicurezza informatica. Tuttavia, nessuno è stato in grado di determinare la reale portata dell'attacco, anche perché è stato abbastanza difficile rintracciare le orme degli aggressori.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo