Mancata consegna

12 febbraio 2025

Di Samantha Clarke, Ankit Gupta, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast

Flusso della campagna

I ricercatori di minacce di Mimecast hanno osservato una campagna di phishing che sfrutta il pretesto di una mancata consegna di un pacco per indurre gli utenti a cliccare su link dannosi e rubare informazioni finanziarie. La campagna viene distribuita tramite Biglobe, una società di telecomunicazioni giapponese spesso sfruttata dagli attori delle minacce. Gli aggressori sfruttano i mercati clandestini come fishersender[.]com per acquistare account compromessi, concedendo loro un accesso legittimo all'infrastruttura di Biglobe. Questo accesso consente loro di inviare email dannose che eludono la maggior parte dei protocolli di autenticazione delle email.

I link trovati in questa campagna portano a URL legittimi di Amazon Simple Storage Service (S3). Amazon S3 è una soluzione di archiviazione cloud che supporta l'archiviazione, la gestione e il recupero di oggetti come i file HTML. È ampiamente utilizzato per ospitare siti web statici, fornendo spazio di archiviazione pubblico. Gli attori delle minacce sfruttano i bucket S3 per ospitare file o pagine dannosi, approfittando della loro reputazione come servizio affidabile per eludere la verifica di sicurezza.
 
In questa campagna, i bucket S3 sono stati utilizzati per archiviare un file HTML progettato per reindirizzare a un altro URL dannoso quando vi accede un utente.

Il file configura una pagina web vuota (<body style="display: none">) che è nascosta all'utente per evitare sospetti e non è visibile tramite i motori di ricerca.
 
Il JavaScript costruisce dinamicamente un URL dannoso concatenando variabili, ad esempio, la = "emaili", muie = "ng.targ", ecc. Suddividendo l'URL dannoso in parti e concatenandole, lo script tenta di aggirare i semplici meccanismi di rilevamento o di corrispondenza con parole chiave.

Una volta reindirizzato, all'utente viene presentata una pagina di phishing molto ben strutturata che richiede solo il codice postale dell'utente. Una volta che l'utente inserisce le informazioni, verrà reindirizzato a un'altra pagina che richiede dettagli finanziari per completare la consegna, che verranno poi rubati.
 
L'attività della campagna mostra picchi significativi di attacchi dannosi, in particolare verso la fine di agosto e l'inizio di settembre, con attività sporadica che continua fino a ottobre.

Tattiche, tecniche e procedure:

T1598.002 - phishing per informazioni
T1583.001 - acquisire infrastruttura: domini
T1584.004 - compromettere infrastruttura: relazione di fiducia
T1204.001 - esecuzione da parte dell'utente: link dannoso
T1586.002 - compromissione account: account email
T1041 - esfiltrazione sul canale C2

Protezione Mimecast  

Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento. 

Obiettivi:  

Regno Unito, prevalentemente nei settori non profit e dell'edilizia  

Indicatori di compromissione

URL

hxxps://s3.amazonaws[.]com/a1zx6ttriopl/parcel.html hxxps://s3.amazonaws[.]com/hfdfbdf8/2/envi7.htm hxxps://s3.amazonaws[.]com/effdafab/9/reschedule4.htm hxxps://s3.amazonaws[.]com/a16130f3d/3/schedule0.htm hxxps://s3.amazonaws[.]com/oginokazunori/input.html hxxps://s3.amazonaws[.]com/e959ec93/4/envi4.htm hxxps://s3.amazonaws[.]com/isoebstao/hermes.html hxxps://s3.amazonaws[.]com/ceciliacha/courier.html

Raccomandazioni  

• Assicurati di avere configurato una politica di URL Protect per proteggere l'organizzazione. 
• Controlla i registri URL Protect per verificare se i tuoi utenti hanno avuto accesso a uno dei servizi oggetto di abuso.
• Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.