Scoperte di Darktrace nelle e-mail: spoofing sull’aiuto per il COVID-19

Dan Fein, Director of Email Security Products | giovedì 13 agosto 2020

Nel marzo 2020, abbiamo documentato la nascita di Fearware: è un tipo di attacco e-mail che sfrutta il senso collettivo di paura e urgenza al fine di convincere i destinatari a fare clic su un allegato o un link pericoloso. Nelle settimane successive abbiamo rilevato più di 130.000 nuovi domini e-mail registrati per eseguire una campagna di phishing con oggetto il COVID-19. Cinque mesi dopo, questa attività è diventata sfortunatamente una normalità per i pirati informatici, che continuano a sfruttare la pandemia come base per i loro attacchi.

Nelle scorse settimane, l’AI di Darktrace ha identificato pirati informatici che si basavano sull’offerta di consigli urgenti correlati alla salute o di dati sull’infezione localizzati, per impersonificare fondi di assistenza nel tentativo particolarmente malevolo di danneggiare le piccole attività già pesantemente in difficoltà.

100%
Mon Jul 27 2020, 16:04:11
Recipient:Anna Gumble <[email protected]>
SBA Application – Review and Proceed
Email Tags
Spam
Spoofing
Suspicious Link
Actions on Email
Double Lock Link
Hold Message
Move to Junk

Figura 1: Istantanea interattiva dell’interfaccia utente di Antigena Email

Una piccola azienda che aveva installato Antigena Email ha ricevuto di recente una serie di 10 e-mail di spoofing che indicavano, come provenienza, la Small Business Administration (SBA) statunitense relativamente a fondi di assistenza relativi all’emergenza COVID-19.

Notare che il dominio del mittente sembrava essere proprio sba.gov, esattamente come dovrebbe essere nel client di posta elettronica del destinatario. Ciò è possibile a causa della ben nota e intrinseca debolezza del Simple Mail Transfer Protocol (SMTP). In realtà, l’e-mail proveniva da un server di posta elettronica in Giappone e i link indirizzavano gli utenti ad un dominio brasiliano compromesso non correlato alla SBA.

Figura 2: Pagina di accesso falsa

La schermata precedente mostra la falsa pagina di accesso a cui sono indirizzati gli utenti dopo aver fatto clic sul link. La pagina usa il logo della SBA ed è formattata con lo stesso stile delle pagine legittime che fanno parte del vero sito web della SBA, come la pagina “forgotten password” (password dimenticata) riportata di seguito.

Figura 3: Pagina del sito web SBA legittimo

Questo cliente Darktrace è una piccola azienda che poteva essere alla ricerca di fondi. Se fosse stato così, poteva cadere vittima di questo attacco pericoloso che prendeva di mira organizzazioni già vulnerabili. Questo attacco mostra come i pirati informatici continuano ad adottare metodi di social engineering creativi e attuali e non si fermano di fronte a nulla per raggiungere i loro obiettivi.

Antigena Email era attivo dietro gli strumenti di gateway e, come qualsiasi altra minaccia che rileva e neutralizza, questa e-mail non sarebbe stata rilevata dagli strumenti di sicurezza integrati nel provider di posta elettronica o da altri gateway presenti. L’AI di Darktrace ha rilevato il link raro basandosi sulla sua comprensione dei normali pattern di comunicazione dell’azienda e ha riconosciuto questa attività come un tentativo di spoofing, evitando che il messaggio fosse recapitato nella casella di posta in arrivo e proteggendo questa azienda vulnerabile da eventuali danni.

Per un’analisi su altri 13 attacchi e-mail, leggere il Report sulla sicurezza contro le minacce e-mail 2020

Dan Fein

Based in New York, Dan is the Director of Email Security Products. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.