Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Campagna di phishing contro Zimbra. Come depotenziarla attraverso le risorse online

Davide Santoro : 29 Aprile 2024 08:25

Recentemente sulla nostra email whistleblower è arrivato un messaggio contenente un allegato in formato .PDF relativo ad una campagna di phishing contro Zimbra. L’utente che ci ha inviato la segnalazione – e che ovviamente ringraziamo – ha effettuato una serie di verifiche che andremo ad analizzare di seguito.

Ovviamente questo genere di segnalazioni sono molto importanti(non mi stancherò mai di ripeterlo) sia perché ci permettono di essere aggiornati sulle campagne di phishing in atto e sia perché ci possono fornire un’occasione per parlarne andando ad aggiungere – soprattutto per gli utenti meno esperti – via via nuove tecniche di “know how” e di prevenzione.

I passaggi che vedremo di seguito potrebbero risultare cose estremamente complesse ad un utente poco pratico ma in realtà sono passaggi che vengono effettuati molto più frequentemente di quanto si possa immaginare…

Come si è comportato il segnalante verso il sito di phishing?

Supporta Red Hot Cyber attraverso

Per prima cosa ha aperto il link di phishing inserendo credenziali fittizie così da poter effettuare un’analisi dei pacchetti con Wireshark

La pagina di phishing
Così scopriamo l’indirizzo IP 167.250.5.36 ed il sito pjabogados.com.ar

A questo punto il nostro segnalante ha effettuato un’analisi del codice sorgente della pagina di phishing alla ricerca di indizi

Molto interessante, uno script che rimanda a https://pjabogados.com.ar/manam/main.php

Navigando all’interno della directory ci si accorge di una cartella di log contente un file denominato “emails.txt”

All’interno dell’allora file “emails.txt”(il file viene sovrascritto ogni giorno con nuove credenziali raccolte nell’arco della giornata), il segnalante ha trovato un indirizzo IP che, una volta analizzato, è risultato essere riconducibile alla Tunisia

Il risultato dell’analisi dell’IP e relativa geolocalizzazione

Come ci siamo comportati noi – Parte “passiva”:

Una volta verificato che la pagina di phishing risulta ancora attiva, abbiamo inserito anche noi dei falsi dati che, come abbiamo visto, è una prassi molto comune:

Il nostro login con il furto delle “nostre” credenziali

Una volta inserite le “credenziali” abbiamo ricevuto un messaggio di errore, infatti i siti di phishing generalmente si comportano in due modi:

  1. Forniscono un messaggio di errore invitandoti a reinserire le credenziali
  2. Reindirizzano verso il sito legittimo dell’azienda colpita dall’attacco
Il finto messaggio di errore si concentra sulle maiuscole

A questo punto siamo andati nella cartella di log indicata dal segnalante, abbiamo aperto il file “emails.txt” e, tra le altre(fortunatamente tutte fittizie), abbiamo trovato le nostre credenziali:

I “nostri” dati, interessante notare come il campo “Desc” rimandi ad una pagina autentica per effettuare il login all’interno di una webmail…

Queste sono le nostre azioni di verifica, sicuramente interessanti ed utili, tuttavia, abbiamo – ovviamente – effettuato anche delle azioni proattive per contrastare attivamente la minaccia

Come ci siamo comportati noi – Parte “attiva” contro il phishing:

Una volta verificata l’esistenza della minaccia e la sua attualità, ci siamo ovviamente mobilitati per poterne ridurre l’impatto e per danneggiarne gli autori. Spesso infatti molti utenti si domandano cosa sia possibile fare – oltre ovviamente a cancellare le email di phishing – per contrastare questo genere di minacce aiutando gli altri utenti del web

Ecco le segnalazioni che abbiamo inviato per ridurre l’impatto della minaccia contribuendo quindi attivamente a depotenziarla:

  1. Abbiamo segnalato il sito a “Navigazione Sicura” di Google
  2. Segnalazione inviata ad Avast, un antivirus molto popolare
  3. URL caricato su VirusTotal, siamo stati i primi a segnalarlo
  4. Inviata segnalazione a Netcraft, anche qui siamo stati i primi
  5. URL inviato a Fortinet

Questa è la history dell’URL in questione su VirusTotal:

Il primo invio su VirusTotal della risorsa di phishing
Il report su NetCraft con l’attribuzione del relativo credito, il che significa che NetCraft non conosceva la risorsa e, quindi, ci ha dato un credito
La risposta di Fortinet alla nostra segnalazione dove ci informano che l’URL segnalato è stato analizzato ed è stato correttamente inserito nella categoria “Phishing

Ma tutte queste procedure sono legali?

Tutto quello che avete visto in questo articolo è assolutamente legale e totalmente legittimo. Utilizzare Wireshark sulla propria rete non costituisce alcun illecito, così come effettuare analisi del proprio traffico di rete.

Inoltre, andare ad analizzarne i risultati utilizzando servizi pubblicamente disponibili è assolutamente legittimo e, anzi, in molti casi sarebbe da consigliare Anche inserire false ed ovviamente inesistenti credenziali su siti di phishing è una prassi molto comune ed è assolutamente legittima.

Questa prassi permette di analizzare il traffico senza fornire alcun dato utile ai cybercriminali.

Ma perché questa campagna?

Andando a leggere il file di log “emails.txt” di cui vi ho già ampiamente parlato, è possibile trovare un URL all’interno del campo “Desc” che rimanda ad una pagina di login a Zimbra:

Pagina di login alla webmail contenuta nel campo “Desc”

Il fatto che nella “Desc” sia contenuto l’URL di una webmail realmente esistente potrebbe portarci a pensare che la campagna sia stata originariamente rivolta verso una specifica organizzazione e che potrebbe essere stata promossa all’interno del mondo degli IAB.

Probabilmente, successivamente la campagna è stata estesa ad altre organizzazioni, Zimbra è una piattaforma molto utilizzata in tutto il mondo.

Queste figure una volta acquisite le credenziali possono rivenderle all’interno del darkweb a soggetti che, per le vostre organizzazioni, sono ben più pericolosi di loro(basti pensare agli affiliati ad una cybergang ransomware o, magari, ad aziende concorrenti che potrebbero comprare gli accessi per effettuare spionaggio industriale e molto altro).

Infatti, allo stato attuale, risulterebbe molto ingenuo considerare il darkweb come un luogo frequentato esclusivamente da criminali e da ragazzini con “felpa e cappuccio”, la realtà come sappiamo è ben diversa, si tratta infatti di un luogo molto frequentato da persone in giacca e cravatta, spesso con un buon livello di istruzione ed in grado di comunicare agevolmente in diverse lingue.

Conclusioni

Come già detto questo articolo è partito da una segnalazione arrivata alla nostra email dedicata al whistleblower che, chiunque abbia notizie che vuole inviarci in maniera più riservata, può utilizzare.

Quindi, questo articolo non sarebbe mai potuto esistere senza un’attività di collaborazione interna alla community e, per questo, mi sento in dovere di ringraziare l’autore dell’email.

Inoltre, con questo articolo ho cercato di fornire alcuni dettagli ed alcune risorse per permettere a chiunque di essere in prima linea contro il phishing e di poter dare il proprio contributo nel rendere il web un posto più sicuro per tutti.

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009