skip to Main Content

Cybercrime, campagna mirata sfrutta il reCAPTCHA associato al phishing

di Pierguido Iezzi

Il cybercrime ha lanciato una campagna phishing mirata, che sfrutta il reCAPTCHA e landing pages ad hoc

Una campagna Phishing del cybercrime ha messo nel mirino gli utenti Microsoft attraverso un nuovo approccio, basato su un sistema di autenticazione reCAPTCHA Google creato ad arte per ingannare le vittime. Il volume complessivo dell’attacco è rilevante dato che alle potenziali vittime sono state inviate migliaia di email di phishing nel giro di poche settimane. Gli aggressori cercano di dare legittimità e credibilità ai loro messaggi attraverso un falso reCAPTCHA Google e landing page presenti su domini di primo livello, che includono i loghi delle aziende per cui lavorano i destinatari. Secondo i dati pubblicati da un recente report, negli ultimi 3 mesi, sono colpiti almeno 2.500 indirizzi email di dipendenti nel settore IT e bancario.

Gli step della campagna phishing

Il primo step porta i destinatari a una pagina in cui è presente un sistema di autenticazione reCAPTCHA falso. Questo servizio, noto alla maggior parte degli utenti che utilizzano internet quotidianamente, ha come scopo principale quello di difendere i siti da spam e utilizzi dannosi, obbligando i visitatori a fare un test di Turing al fine di fare distinzione fra umani (legittimi) e bot (ad esempio richiedendo di selezionare alcune immagini o foto che raffigurano un oggetto in particolare). Una volta passato il “test” fasullo, le vittime vengono reindirizzate a una landing page in cui, attraverso la richiesta delle credenziali Office 365: il phishing vero e proprio si concretizza.

Le vittime dei cyber criminali sono mirate

L’offensiva del cybercrime si è fatta notare. Ciò in quanto sembra voler prendere di mira dipendenti o collaboratori in posizioni “di alto rango” all’interno dell’organigramma aziendale, come vice presidenti e amministratori delegati, che molto probabilmente godono di pieno accesso ai dati sensibili (e quindi con maggior valore) aziendali. L’obiettivo finale è sottrarre le credenziali di login alle vittime per accedere proprio a questi dati (monetizzabili attraverso l’estorsione o la vendita sul mercato nero).

Alla base della trappola ci sono email con allegati vocali

Le email di phishing vengono presentate come messaggi da parte di colleghi della vittima, con allegati vocali che contengono comunicazioni importanti. Ne è di esempio il seguente messaggio “l’utente X ha lasciato un messaggio di 35 secondi in data 20 gennaio”, accompagnato dall’allegato “vmail-219.HTM.” Cliccando sull’attachment, il destinatario viene indirizzato a una pagina contenente un Google reCAPTCHA falso, ma che imita alla perfezione il classico layout di questo sistema di autenticazione. Con tanto di checkbox da spuntare per dimostrare di non essere un robot seguito dal test di Turing. Passato il test, le vittime arrivano a quella che sembra essere la schermata di login di Microsoft. Nella pagina sono presenti diversi loghi delle aziende per cui lavorano, come ad esempio quelli della software factory ScienceLogic o della società americana BizSpace, specializzata nell’affitto di uffici.

Gli attori del cybercrime hanno dedicato molta attenzione alla campagna

Questo aspetto in particolare rivela l’attenzione e la cura nei dettagli dei cybercriminali che personalizzano le landing page a seconda della vittima da colpire, in modo da rendere l’attacco ancora più credibile. Le vittime devono quindi inserire le loro credenziali e, una volta completata la procedura, viene mostrato un messaggio di “validazione completata”. Lo step finale è essere reindirizzati a una pagina nella quale è possibile ascoltare il fantomatico messaggio vocale, la ciliegina sulla torta  che impedisce alle vittime di realizzare l’inganno. All’interno di questa campagna sono state trovate diverse pagine di phishing, ospitate su domini di qualità con suffissi come .xyz, .club e .online. Questi domini vengono spesso utilizzati dai cyber criminali proprio per attacchi di malspam o di phishing in quanto il costo d’acquisto è spesso inferiore a 1 $ per sito.

Non è la prima volta che il reCAPTCHA viene usato per evadere la cybersecurity

I criminal hacker fanno leva su sistemi di autenticazione reCAPTCHA fasulli ormai da anni. Un esempio risale al 2019 quando una campagna, che aveva messo nel suo mirino una banca polacca e i suoi clienti, prevedeva l’invio di email contenenti link connessi a un file PHP dannoso, cliccato il quale veniva attivato il download del malware BankBot nei sistemi informatici delle vittime. Anche in questo caso, nella fase intermedia dell’attacco, era presente un reCAPTCHA finto per dare un tocco di “veridicità” alla richiesta. Un altro attacco di phishing, avvenuto a febbraio, conteneva un messaggio vocale fake con un link per riprodurlo. Cliccandolo, le vittime si ritrovavano su un altro sito potenzialmente pericoloso, anche in questo caso integrato con il meccanismo di autenticazione reCAPTCHA.

Massima attenzione, soprattutto nel caso in cui vengano richieste le credenziali di accesso a servizi come Microsoft Teams

Gli esempi citati ci dimostrano come il reCAPTCHA continui a essere utilizzato in maniera ingannevole per gli attacchi di phishing, al fine di dare un tocco di legittimità all’offensiva. Tattiche di questo tipo sono già presenti da anni, ma solo recentemente gli hacker sembrano aver messo come target i manager (o più in generale le alte sfere) delle aziende che intendono colpire. Gli utenti Microsoft Office 365 sono stati potenziali vittime di diversi attacchi di phishing sofisticati negli ultimi mesi. È sempre bene prestare la massima attenzione, soprattutto nel caso in cui vengano richieste le credenziali di accesso a servizi come Microsoft Teams. Alcuni dettagli, come il dominio della pagina che richiede tali informazioni e l’estensione del file vocale allegato, possono fornire indizi utili per capire che non si tratta di una richiesta legittima.

Non abbassiamo la guardia!

Back To Top