Automotive, chimico e produzione di composti industriali. Sono questi i settori nel mirino dell’ultima campagna phishing scovata da Unit 42, il threat intelligence team di Palo Alto Networks. In questo articolo, Shachar Roitman, Ohad Benyamin Maimon, William Gamazo di Unit 42, descrivono nel dettaglio la campagna malevola ai danni delle aziende europee.
Buona lettura!
Nuova campagna di phishing contro aziende e istituzioni europee rilevata da Unit 42
Unit 42, il threat intelligence team di Palo Alto Networks, ha recentemente osservato una campagna di phishing che mirava a raccogliere le credenziali degli account e prendere il controllo dell’infrastruttura cloud Microsoft Azure di svariate aziende europee.
I tentativi di phishing hanno raggiunto l’apice nel giugno 2024, con falsi moduli creati utilizzando il servizio HubSpot Free Form Builder. La telemetria indica che l’attore della minaccia ha preso di mira con successo circa 20.000 utenti di varie aziende europee. HubSpot è una piattaforma operativa di gestione delle relazioni con i clienti (CRM), marketing, vendite e sistema di gestione dei contenuti (CMS) basata su cloud.
La nostra ricerca ha rivelato che, sebbene sembri sia stata avviata nel giugno 2024, la campagna di phishing fosse ancora attiva nel settembre 2024 e ha colpito aziende europee dei seguenti settori:
- Automotive
- Chimico
- Produzione di composti industriali
Le email di phishing contenevano un file PDF allegato, abilitato a Docusign, o un link HTML incorporato che indirizzava le vittime a link pericolosi di HubSpot Free Form. In collaborazione con i team di sicurezza di HubSpot, abbiamo stabilito che HubSpot non è stato compromesso durante questa campagna di phishing, né i link di Free Form Builder sono stati consegnati alle vittime target tramite l’infrastruttura di HubSpot.
Abbiamo contattato Docusign che ci ha risposto: “La fiducia, la sicurezza e la privacy dei nostri clienti sono sempre state al centro dell’attività di Docusign. Dal momento di questa indagine, Docusign ha implementato una serie di azioni aggiuntive per rafforzare le sue misure preventive proattive, che – a oggi – hanno diminuito significativamente il numero di firmatari che ricevono richieste di firma Docusign fraudolente”.
Le prove dimostrano che l’attore della minaccia ha indirizzato diversi tentativi di phishing verso determinate aziende europee e istituzioni, includendo dialoghi tematici specifici in termini di azienda target e formattazione dell’indirizzo e-mail.
Diversi allegati PDF pericolosi utilizzavano il nome dell’organizzazione colpita all’interno del file (ad esempio, CompanyName.pdf).
Facendo clic su “Visualizza documento”, la vittima viene reindirizzata a un modulo gratuito di HubSpot ospitato nella loro area europea con il seguente formato URL: https://share-eu1.hsforms[.]com/FORM-ID. Durante la nostra indagine abbiamo identificato diversi moduli che corrispondevano a questo tipo di link HubSpot Free Form.
La dicitura nella finestra HubSpot Free Form “View Document on Microsoft Secured Cloud” indica che la campagna di phishing sta prendendo di mira anche gli account Microsoft delle aziende europee e ha effettuato diversi tentativi di connessione all’infrastruttura cloud Azure della vittima.
Una volta fatto clic, l’utente viene reindirizzato alle pagine di raccolta delle credenziali dell’attore della minaccia, che chiede di fornire i propri dati di accesso a Microsoft Azure.
Identificazione delle email di phishing sospette
Analizzando i messaggi, abbiamo trovato due noti indicatori utili per identificare attacchi simili, tono di urgenza e fallimento dei controlli di autenticazione:
- Tono di urgenza:
- le email di phishing spesso creano urgenza con frasi come “è richiesta un’azione immediata” per sollecitare risposte rapide.
- Controlli di autenticazione falliti:
- un risultato “Fail” per il Sender Policy Framework (SPF) significa che l’indirizzo IP del mittente non è autorizzato a inviare email per conto del dominio, suggerendo un possibile spoofing.
- Un risultato “Fail” per DomainKeys Identified Mail (DKIM) indica che la firma digitale dell’email non è stata verificata, comportando una possibile alterazione o contraffazione.
- Un “Temporary Error” per Domain-based Message Authentication, Reporting and Conformance (DMARC) indica un problema a breve termine con l’allineamento del dominio, spesso dovuto a ritardi del server o del DNS, che indebolisce l’autenticazione del dominio.
di Shachar Roitman, Ohad Benyamin Maimon, William Gamazo di Unit 42
