Mimecast Logo
Richiedi un preventivo

    Convincere l'utente a copiare/incollare i link

    12 febbraio 2025

    A cura del Mimecast Threat Research Team

    Punti principali

    Cosa imparerai in questa notifica

    • Mirato prevalentemente alle aziende legali, manifatturiere e della vendita al dettaglio negli Stati Uniti.
    • Le campagne vengono distribuite tramite AWS SES e inviate tramite un mailer Python
    • L'intento principale è quello di raccogliere le credenziali.

    Flusso della campagna

    Copy-and-Paste-flow.jpg

    Per eludere il rilevamento da parte delle soluzioni di sicurezza, gli attori di minacce stanno incoraggiando gli utenti a interagire con link malformati copiandoli e incollandoli dalle email nei loro browser. I ricercatori di minacce di Mimecast hanno identificato che queste esche spesso presentano un pulsante con un link interrotto accompagnato da questo testo: "Nel caso in cui il link fornito non funzioni come previsto, copia il seguente link e incollalo nella barra degli indirizzi del suo browser." L'email utilizza l'esca comune di condividere un file di pagamento per indurre gli utenti a interagire con l'email. Tuttavia, laddove l'utente normalmente farebbe clic sul pulsante 'Visualizza file', questo è stato reso intenzionalmente non cliccabile, quindi l'utente è forzato a interagire con il link in fondo all'email.

    Copy-and-Paste-1.png

    Il link è presentato come testo semplice, non come un hyperlink attivo (<a href>), quindi potrebbe non essere immediatamente rilevato dai filtri di sicurezza che scansionano alla ricerca di URL dannosi. Poiché l'utente è incoraggiato a copiare e incollare manualmente, si eludono gli strumenti di analisi automatica dei link all'interno delle piattaforme di sicurezza delle email. L'URL include domini affidabili come sharepoint.com per conferire un'aria di credibilità. Tuttavia, è seguito da un dominio dannoso non correlato: hoteis-em-gramado[.]com.

    Il link tende ad essere lungo, con diverse offuscazioni e codifica base64, difficili da identificare come sospetti da parte dell'utente. Decodificando il base64, sembra che ci siano parametri aggiuntivi nascosti;

    sv=o365_1_sp&rand=ajk3WHM=&uid=USER27092024U07092722

    sv=o365_1_sp: probabilmente indica che il servizio o la piattaforma vengono imitati. Qui, sembra indicare "Office 365 SharePoint" (o365_1_sp).

    rand=ajk3WHM=: sembra essere un valore generato casualmente, probabilmente per creare URL univoci a fini di tracciamento. Stringhe casuali come queste possono fungere da ID di sessione o di tracciamento che consentono agli aggressori di identificare la vittima.

    uid=USER27092024U070927227: probabilmente un identificatore di utente, che potrebbe corrispondere a un bersaglio specifico nella campagna di phishing. Il modello simile a una data (27092024) potrebbe codificare il timestamp di quando è stata generata l'email o il link di phishing.

    Una volta che l'utente copia e incolla il link nel proprio browser, verranno aggiunti i dati mancanti "http://" per formare completamente il link e verrà reindirizzato a una pagina di raccolta delle credenziali che contiene alcuni file.

    Copy-and-Paste-2.png

    L'attività della campagna mostra un picco significativo a fine ottobre, con attività sporadica ma continua a novembre.

    Copy-and-Paste-3.png

    Tattiche, tecniche e procedure:

    T1204.001 - esecuzione utente: link dannoso
    T1598.002 - phishing per informazioni
    T1566.002 - link di spear phishing
    T1071.001 - protocollo a livello di applicazione: protocolli web (HTTP/HTTPS)
    T1586.002 - compromissione account: account email
    T1588.006 - ottenere capacità: servizi web
    T1027 - file o informazioni offuscati

    Protezione Mimecast

    Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento.

    Obiettivi:

    Stati Uniti, prevalentemente nel settore legale, vendita al dettaglio e manifatturiero

    Indicatori di compromissione

    Oggetti:

    Payment Advice_Have2020 __[MSG-ID-8284766044wzdjjatjmcvlzp]
    Lisa ha condiviso il "Rapporto sui dettagli del pagamento"
    Avviso del Dipartimento di Finanza: trasmissioni recenti dei pagamenti dei fornitori
    Conferma di pagamento del 23/10/24

    URL:

    hoteis-em-gramado[.]com

    Raccomandazioni

    • Assicurati di avere configurato una politica di URL Protect per proteggere l'organizzazione.
    • Controlla i registri URL Protect per verificare se i tuoi utenti hanno avuto accesso a uno dei servizi oggetto di abuso.
    • Controlla i registri delle ricevute delle email per verificare se uno degli oggetti corrispondenti è stato consegnato ai tuoi utenti.
    • Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.
    Back to Top