Una sorprendente ondata di cyber-attacchi mirati: EvilProxy
In un mondo in cui la sicurezza informatica è diventata centrale, è emerso un nuovo e inquietante trend. Gli esecutivi aziendali sono ora nel mirino di cybercriminali determinati, come evidenziato da una recente indagine di Proofpoint.
Si è registrato un notevole aumento delle intrusioni informatiche negli ultimi cinque mesi, e una strategia predominante tra i cybercriminali sembra concentrarsi sugli alti dirigenti. Questi incidenti, che aggirano i protocolli di sicurezza avanzata, evidenziano quanto sia cruciale una difesa informatica efficace.
Un particolare strumento di phishing, noto come EvilProxy, è diventato lo strumento preferito per effettuare attacchi mirati, soprattutto su dirigenti di alto profilo in grandi corporazioni. L’indagine ha rilevato che, tra marzo e giugno 2023, sono state inviate circa 120.000 email fraudolente a diverse organizzazioni, mirando specificamente agli account Microsoft 365.
Dettagli del nuovo strumento di attacco
EvilProxy, venduto come servizio (PhaaS – Phishing as a Service), sta diventando un nome familiare nel mondo del cybercrimine. Sorprendentemente, quasi il 39% delle vittime sono state individuate come esponenti di livello C, incluso il 9% di CEO e il 17% di CFO. Molti di questi avevano inoltre misure di sicurezza aggiuntive attivate per i loro account.
Queste campagne maliziose sono spesso una risposta all’adozione generalizzata dell’autenticazione multifattore nelle aziende. I malintenzionati stanno adattando le loro tattiche, utilizzando sofisticati kit di phishing per rubare credenziali.
L’ascensione di EvilProxy è stata inizialmente documentata da Resecurity nel settembre 2022. L’attrezzo ha dimostrato di poter compromettere una vasta gamma di account, da Apple iCloud a Twitter e molti altri.
La strategia malevola
I nuovi attacchi tipicamente iniziano con email ingannevoli mascherate da servizi autentici come Adobe e DocuSign. I malcapitati vengono indotti a fare clic su collegamenti dannosi che li conducono a pagine di login fasulle di Microsoft 365. Curiosamente, la campagna evita gli utenti con IP dalla Turchia, forse indicando la possibile origine dei cybercriminali.
Questi attacchi di successo non si fermano all’acquisizione dell’account. Gli aggressori consolidano la loro presenza all’interno delle infrastrutture cloud delle vittime, aggiungendo le loro misure di autenticazione e garantendo un accesso prolungato. Successivamente, monetizzano l’accesso compromettendo ulteriormente gli account, sottraendo dati preziosi o rivendendo l’accesso ad altri malintenzionati.
Un panorama in continuo cambiamento
Questo non è l’unico esempio di nuove tattiche innovative da parte dei cybercriminali. Imperva ha recentemente rilevato una campagna di phishing originata dalla Russia, in cui i bersagli venivano ingannati con link truffaldini condivisi su WhatsApp.
È essenziale che le aziende riconoscano la crescente complessità e raffinatezza degli attacchi. La pura portata di queste campagne mette in luce la necessità di rafforzare ulteriormente le misure di sicurezza, in particolare in termini di protezione delle email.
In conclusione, mentre il panorama delle minacce cibernetiche continua a evolversi, l’importanza di una difesa informatica robusta non può essere sottolineata abbastanza. La crescente prevalenza di tattiche sofisticate di phishing richiede una risposta decisa da parte delle organizzazioni in termini di sicurezza.
