Arriva l’estate e con essa non possono mancare nuove campagne di phishing!
Recentemente abbiamo visto campagne che si diffondevano attraverso messaggi telefonici, in cui gli attori malevoli impersonano banche e chiedono l’accesso al proprio conto tramite un link fornito, altre comunicano tramite mail notizie urgenti riguardanti consegne di pacchi mai ordinati con annesso il solito link malevolo.
Nell’ultimo mese però a differenza delle solite campagne, ha iniziato la sua diffusione Da-De attraverso molteplici account falsi su Youtube e nello specifico nella sezione shorts.
Esempio di riferimento al nome della campagna
Cos’è una campagna di phishing?
Le campagne di phishing sono delle tecniche utilizzate dai cybercriminali al fine di rubare dati e/o ottenere accessi abusivi a sistemi informatici.
Queste tecniche prevedono come metodo di diffusione l’invio di E-mail, messaggi telefonici, utilizzo di account falsi e molti altri mezzi allo scopo di trarre in inganno la vittima facendole seguire un link malevolo.
Vi sono diverse categorizzazioni di phishing dipendentemente dai mezzi di diffusione utilizzati e dalla specificità dell’attacco nei confronti del bersaglio.
Le campagne di massa siccome hanno l’obiettivo di colpire un grosso bacino di utenti tendono a essere molto generiche nei propri messaggi esca e tendono a sfruttare argomenti comuni alla massa.
I messaggi inviati alla vittima sono architettati tramite tecniche di ingegneria sociale per convincere la vittima a fare click su un link malevolo, a sua volta questo link è utilizzato dai criminali per scaricare sul dispositivo vittima diverse tipologie di malware atti a garantire l’accesso abusivo e/o l’esfiltrazione di dati e portare quindi a termine il loro attacco.
Esempi di link nei commenti della campagna Da-De
Il famoso attacco alla Colonial pipeline americana
Nel maggio 2021, la Colonial pipeline, ovvero il più grande sistema di oleodotti americano è stato colpito da un ransomware che ne bloccò le operazioni per 5 giorni causando danni ingenti a tutto il paese, specialmente nella East Coast che subì una temporanea carenza di carburante.
Le difese informatiche dell’azienda sembrerebbe siano state aggirate tramite tecniche di phishing che riuscirono a recuperare la password di un dipendente, così da garantire al gruppo cybercriminale DarkSide il loro “accesso iniziale” alla compagnia.
A questo accesso iniziale sarebbe poi seguita la diffusione del ransomware che causò un danno non quantificabile per l’azienda, siccome non avrebbe potuto mantenere le forniture per la settimana seguente, inoltre l’azienda dovette pagare un riscatto da 4.4 milioni di dollari per ottenere in cambio le chiavi di decrittazione.
La nuova campagna di phishing su Youtube Shorts
Da-De così sembrerebbe chiamarsi la nuova campagna di phishing di massa che nell’ultimo mese scorrazza tra gli shorts di Youtube.
La campagna tenta di attirare l’utente tramite spam di brevi video raffiguranti scene che alludono a contenuti di natura sessuale caricati attraverso molteplici profili fake.
Esempi di accounts utilizzati per lo spam
Questi video incitano l’utente al click del link inserito nei commenti se volesse “vedere di più”.
Una volta cliccato il link si viene reindirizzati molteplici volte fino a giungere a delle pagine che spesso si presentano tramite quiz e countdown oppure domande di natura sessuale.
Esempio di link utilizzato nei molteplici reindirizzamentiEsempio di testo trascritto da pagine coinvolte
Tramite queste procedure sembrerebbe che i malintenzionati identificano il dispositivo utilizzato dalla vittima in modo da poter reindirizzare il visitatore verso una pagina specifica che possa consegnare il corretto malware.
Studiando il percorso tracciato dai cybercriminali sono stati identificati diversi malware come:
TrojanDropper: Android/Triada
Ransom: Win32/Crypmod
Trojan: Win32/Swotter
Worm: Win32/Fearso
e molti altri ancora, per una lista più esaustiva di quelli conosciuti al momento rimandiamo al seguente link.
Come possiamo vedere da diverse fonti questi siti ottengono molte visualizzazioni e questo fa pensare che la campagna stia effettivamente pescando grandi quantità di utenti.
Tramite controlli incrociati possiamo anche notare che alcuni dei domini coinvolti in questa infrastruttura risultano essere attivi da molti anni, mentre alcuni di essi sembrano essere molto più recenti risalenti infatti a luglio 2021 oppure a febbraio/marzo 2022.
Consigli per difendersi da questa minaccia
Le campagne di phishing di questo tipo, fortunatamente, sono facilmente riconoscibili perciò si consiglia, all’utente privato:
Non seguire le indicazioni di queste tipologie di shorts evitando il click del link nei commenti
Utilizzo di un buon software antivirus
Segnalare l’account sospetto
Mantenere aggiornato il sistema operativo e il software antivirus
Mentre riguardo l’ambito Business:
Formare i dipendenti riguardo alle campagne in atto
Mantenere aggiornati sistemi EDR/IDR
Aggiungere alle blacklist i domini utilizzati dai cybercriminali
Per garantire inoltre un punto di partenza per ricercatori di sicurezza e aziende nello studio e nell’integrazione nei propri sistemi EDR è stata creata una repository aperta (https://otx.alienvault.com/pulse/62b1c6ee832ba92c3a550cb4), sulla piattaforma AlienVault contenente oltre 100 IOCs (domini, IP, Hash, URL) che ripercorrono il click di uno di questi link malevoli relativi alla campagna Da-De.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza:Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
Nel precedente contributo abbiamo esplorato come la posizione di garanzia del professionista della cybersecurity si scontri con fattispecie classiche come l’accesso abusivo. Tuttavia, nella mia esperienza professionale e accademica, riscontro spesso una zona d’ombra ancora…
Ancora una volta Microsoft si è vista obbligata ad effettuare una rapida correzione di alcune falle. L’azienda ha rilasciato patch non programmate per Microsoft Office, risolvendo una pericolosa vulnerabilità zero-day già sfruttata in attacchi informatici.…
La recente scoperta di una vulnerabilità nella piattaforma AI di ServiceNow ha scosso profondamente il settore della sicurezza informatica. Questa falla, caratterizzata da un punteggio di gravità estremamente elevato, ha permesso ad aggressori non autenticati…
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…
Un recente leak ha rivelato 149 milioni di login e password esposti online, tra cui account di servizi finanziari, social, gaming e siti di incontri. La scoperta è stata fatta dal ricercatore Jeremiah Fowler e…
