Nel panorama delle minacce informatiche, i criminali informatici stanno sempre più sfruttando servizi legittimi come Dropbox per condurre attacchi di phishing mirati. Questa tendenza è emersa chiaramente in un caso osservato da Darktrace nel gennaio 2024, in cui un attacco ha coinvolto un cliente nel settore manifatturiero. L’attacco ha evidenziato come gli aggressori possano abusare di infrastrutture legittime per eludere i sistemi di sicurezza tradizionali.
Fase Iniziale dell’Attacco
Il 25 gennaio 2024, Darktrace / EMAIL ha rilevato un’email sospetta inviata da ‘no-reply@dropbox.com‘, un indirizzo legittimo utilizzato dal servizio di archiviazione cloud Dropbox. L’email conteneva un link che conduceva a un file PDF ospitato su Dropbox, apparentemente condiviso da un partner dell’organizzazione. Nonostante l’apparente legittimità, il PDF conteneva un link a un dominio sconosciuto all’interno dell’ambiente del cliente: ‘mmv-security.top’. Questa tecnica, nota come “typosquatting”, mira a ingannare gli utenti facendogli credere che il link sia sicuro, sfruttando la fiducia nei servizi legittimi.
Compromissione dell’Account e Bypass dell’MFA
Nonostante le misure di sicurezza, l’utente ha aperto l’email e seguito il link al PDF. Il link ha portato a una falsa pagina di login di Microsoft 365, progettata per rubare le credenziali degli utenti. In seguito, sono stati osservati accessi sospetti all’account SaaS dell’utente da località insolite, utilizzando VPN per mascherare l’origine. Anche se l’autenticazione a più fattori (MFA) era attiva, gli aggressori sono riusciti a bypassarla, probabilmente ottenendo un token MFA valido tramite tecniche di ingegneria sociale.
Persistenza e Creazione di Regole Email Maligne
Una volta compromesso l’account, gli aggressori hanno creato una regola email denominata ‘….,,,’ per spostare automaticamente le email in arrivo da un dominio specifico nella cartella ‘Conversation History’. Questa mossa mirava a occultare ulteriori comunicazioni malevole, sfruttando la scarsa attenzione degli utenti verso cartelle meno utilizzate. Tale comportamento evidenzia l’uso di tecniche avanzate per mantenere la persistenza all’interno della rete compromessa.
Risposta e Mitigazione
In questo caso, Darktrace / EMAIL ha rilevato e trattenuto l’email sospetta prima che raggiungesse la casella di posta dell’utente. Tuttavia, la risposta automatica non era attivata, quindi è stato necessario un intervento manuale da parte del team di sicurezza del cliente. Fortunatamente, grazie al servizio di Managed Threat Detection di Darktrace, il Security Operations Center (SOC) è stato allertato e ha potuto intervenire tempestivamente per contenere l’incidente.
Conclusioni e Raccomandazioni
Questo caso evidenzia l’importanza di adottare un approccio proattivo alla sicurezza informatica, integrando soluzioni di intelligenza artificiale in grado di rilevare anomalie comportamentali e minacce sconosciute. Le tecniche di phishing basate su servizi legittimi come Dropbox rappresentano una sfida crescente per le organizzazioni, richiedendo una vigilanza costante e l’adozione di strategie di difesa multilivello.
Per proteggersi efficacemente, le aziende dovrebbero:
- Implementare soluzioni di sicurezza avanzate che utilizzano l’intelligenza artificiale per rilevare attività sospette.
- Attivare e configurare correttamente l’autenticazione a più fattori (MFA) per tutti gli accessi critici.
- Formare i dipendenti per riconoscere e segnalare tentativi di phishing.
- Monitorare costantemente le attività degli utenti e le configurazioni delle regole email per individuare comportamenti anomali.
Affrontare queste minacce richiede un impegno continuo e l’adozione di tecnologie all’avanguardia per proteggere le informazioni sensibili e garantire la sicurezza delle infrastrutture aziendali.
Informatics, ski racer, loves travels, Finland, Norway, mountains, squash, photography, Drones and RC Helicopter
Commenti recenti