Phishing Invisibile in Microsoft Outlook: La Trappola Perfetta Elude Anche i Sistemi di Sicurezza!

Sans Tech segnala una sofisticata tecnica di phishing che sfrutta le capacità di rendering HTML di Microsoft Outlook per nascondere link dannosi ai sistemi di sicurezza aziendali, mantenendone l’efficacia contro gli utenti finali. 

L’attacco sfrutta istruzioni HTML condizionali per visualizzare contenuti diversi a seconda che l’e-mail venga visualizzata in Outlook o in client di posta elettronica alternativi, consentendo agli autori della minaccia di aggirare i meccanismi di scansione di sicurezza comunemente implementati negli ambienti aziendali.

Gli analisti della sicurezza hanno osservato che questa tecnica viene utilizzata principalmente contro gli istituti finanziari, con gli aggressori che creano e-mail che sembrano provenire da importanti banche e richiedono la verifica del conto. 

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La natura sofisticata di questi attacchi suggerisce che siano opera di esperti in minacce informatiche che conoscono le sfumature tecniche dei motori di rendering dei client di posta elettronica e delle architetture di sicurezza aziendale.

Queste istruzioni, <!–[if mso]> e <!–[if !mso]>, sono state originariamente create per garantire la corretta formattazione delle e-mail su diversi client, ma ora sono state utilizzate come armi dai criminali informatici. Quando un’e-mail contenente queste istruzioni condizionali viene aperta in Microsoft Outlook, viene eseguito il codice condizionale MSO (Microsoft Office), che visualizza contenuto innocuo che appare legittimo sia agli utenti sia ai sistemi di sicurezza automatizzati.

La tecnica funziona creando due percorsi di codice distinti all’interno di un singolo messaggio di posta elettronica. Il primo percorso indirizza gli utenti di Outlook con link apparentemente legittimi, mentre il secondo indirizza gli utenti di altri client di posta elettronica a siti web di raccolta di credenziali. 

Questo approccio a doppia funzionalità consente agli aggressori di mantenere un’apparenza di legittimità quando le e-mail vengono elaborate dall’infrastruttura di sicurezza aziendale, che si basa prevalentemente su meccanismi di scansione basati su Outlook.

L’implementazione dannosa prevede l’incorporamento di blocchi HTML condizionali che eseguono diverse destinazioni di collegamento ipertestuale in base all’identificazione del client di posta elettronica. La struttura del codice segue questo schema:

Questa struttura del codice garantisce che gli utenti di Outlook vedano riferimenti a domini bancari legittimi, mentre gli utenti di Apple Mail, Thunderbird, dell’interfaccia web di Gmail e di altri client non Outlook vengono reindirizzati a infrastrutture controllate dagli aggressori. 

La scoperta di questa tecnica evidenzia significative debolezze nelle architetture di sicurezza della posta elettronica aziendale  La maggior parte delle soluzioni di sicurezza aziendale analizzano le e-mail utilizzando motori compatibili con Outlook, il che significa che elaborano solo il ramo condizionale benigno e non riescono a rilevare il percorso alternativo dannoso. 

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.