LayerX Labs ha identificato una nuova campagna di phishing zero-day che impersona le notifiche di sicurezza di Microsoft per indurre le vittime a condividere le proprie credenziali di accesso e i dettagli di pagamento.
L'attacco imita un avviso di sicurezza di Microsoft Windows Defender, invitando gli utenti a chiamare un numero verde, immettere le proprie credenziali e pagare il call center per "proteggere" il proprio computer.
Questo attacco è stato in grado di penetrare i meccanismi di sicurezza di rete tradizionali come i Secure Web Gateway (SWG) e le soluzioni Security Service Edge (SSE) perché utilizza una serie di tecniche di elusione progettate appositamente per eludere gli strumenti di sicurezza tradizionali
In questo blog condivideremo i dettagli di questo incidente, spiegheremo cosa lo rende unico, perché è sfuggito ai meccanismi di sicurezza tradizionali e come è possibile proteggere se stessi (e la propria organizzazione) da tentativi simili.
L'incidente: una truffa di avviso Microsoft
Questo attacco è stato identificato nell'ambiente di uno dei grandi clienti aziendali di LayerX, dove ha aggirato diversi livelli di controllo di sicurezza della rete, ma è stato automaticamente bloccato da LayerX prima che potesse causare danni.
L'attacco impiega una strategia semplice ma efficace: una pagina web simile a un avviso di Microsoft Windows Defender che segnala che il computer è stato infettato da malware.
Nel messaggio si afferma che il dispositivo dell'utente è stato infettato da un malware, invitandolo a chiamare un numero di supporto per ricevere assistenza immediata.
Agli utenti che tentavano di abbandonare la pagina veniva mostrato un messaggio che segnalava che il loro dispositivo era bloccato e che era necessario immettere le proprie credenziali per effettuare l'accesso.
In alcuni casi da noi testati, il codice della pagina è riuscito a causare il blocco del browser web, imitando un blocco di sicurezza di Microsoft e spingendoli nuovamente a chiamare il falso numero della helpline per la sicurezza.
Questo tipo di ingegneria sociale sfrutta l'urgenza e l'ansia degli utenti ignari. Simulando un'emergenza di sicurezza, gli aggressori spingono gli utenti ad agire immediatamente in modo che non perdano tempo a esaminare l'avviso troppo da vicino.
Molteplici livelli di rischio
Gli aggressori usano comunemente tattiche di phishing per indurre gli utenti a condividere informazioni o a fornire accesso ai sistemi. Senza un rilevamento avanzato in atto, gli utenti avrebbero potuto essere esposti all'attacco, esponendoli al rischio di:
- Chiamando il numero della hotline fornita, gli aggressori potrebbero convincerli a pagare un riscatto o a concedere l'accesso remoto ai loro sistemi.
- Inserendo le proprie credenziali nel sito di phishing, che gli aggressori potrebbero rubare e utilizzare per impossessarsi dell'account.
- Le informazioni dei loro utenti vengono sfruttate per attacchi più sofisticati o vendute sul dark web.
Perché le difese convenzionali hanno fallito
Molte organizzazioni implementano la soluzione Secure Web Gateway (SWG) per gestire le minacce di navigazione e gli attacchi di phishing. Tuttavia, questo attacco è stato rilevato presso un cliente LayerX, dove ha bypassato lo SWG dell'organizzazione. Questo perché le difese del livello di rete come SWG e gateway di posta elettronica in genere si basano su due metodi principali:
- Elenchi di blocco di URL dannosi noti
- Firme di pagine di phishing note
Questo attacco è riuscito a bypassare entrambi per i seguenti motivi:
1. Dominio di hosting legittimo
Gli aggressori hanno ospitato la loro pagina di phishing su un dominio di hosting Microsoft legittimo: windows[.]net.
Windows[.]net è una piattaforma di Microsoft per sviluppatori che ospitano applicazioni web .net e Azure. Ciò significa che la pagina di phishing risiedeva sull'infrastruttura di Microsoft. Di conseguenza, la pagina godeva di un'elevata reputazione di dominio di primo livello (TLD).
Ciò la faceva apparire agli occhi di un osservatore esterno come una pagina legittima di Microsoft, consentendole di aggirare le tradizionali difese basate sugli URL.
Anche se una soluzione di difesa basata su URL identificasse attività dannose, in genere non bloccherebbe l'ULR, poiché il blocco di tutti i sottodomini su `windows.net` interromperebbe innumerevoli servizi legittimi ospitati da Microsoft, causando problemi operativi per le organizzazioni.
2. Sottodomini randomizzati a zero ore
Gli aggressori hanno fatto uso di sottodomini randomizzati per evitare il rilevamento. I laboratori LayerX hanno catturato `pushalm83e.z13.web.core.windows[.]net`. Tuttavia, queste stringhe di dominio possono essere facilmente generate e ruotate frequentemente.
Ciò consente agli aggressori di garantire che la pagina non corrisponda a nessuna intelligence sulle minacce o alle blacklist URL in atto. Questa tattica, spesso definita tecnica "zero-hour", consente ai siti di phishing di rimanere online il tempo necessario per intrappolare le vittime prima di essere rimossi e spostati in un altro sottodominio randomizzato.
3. Bassa somiglianza del kit di phishing
Il design della pagina di phishing era innovativo e non corrispondeva ai modelli, agli hash e alle firme esistenti comunemente visti nei kit di phishing. Ciò ha consentito alla pagina di eludere il rilevamento da parte di soluzioni basate sull'analisi di similarità della pagina di phishing.
I controlli che si basano solo su modelli ed elenchi di phishing, senza esaminare il contenuto della pagina web stessa, verranno aggirati da attacchi avanzati e creativi.
Nonostante queste caratteristiche, LayerX è riuscito a rilevare e bloccare l'attacco in tempo.
Perché LayerX ha rilevato quando le difese legacy fallivano
A differenza dei tradizionali strumenti di sicurezza di rete, che si basano principalmente su elenchi di URL dannosi noti, LayerX protegge dal phishing e dall'ingegneria sociale sfruttando il filtraggio degli URL con analisi in tempo reale del comportamento delle pagine.
L'analisi in tempo reale dei contenuti web di LayerX non si basa solo sulla reputazione del dominio o sulle firme statiche. Utilizza invece una rete neurale basata sull'intelligenza artificiale per rilevare i fattori di rischio in tempo reale, anche per attacchi mai visti prima. Di conseguenza, quando la pagina di phishing ha tentato di chiedere agli utenti di immettere credenziali o di chiamare un numero di supporto, la soluzione di LayerX ha immediatamente identificato questo tentativo, lo ha contrassegnato come sospetto e ha automaticamente bloccato la pagina, prevenendo potenziali danni.
LayerX è la prima soluzione che affronta la sfida di proteggere la superficie di attacco più mirata ed esposta oggi: il browser, senza compromettere l'esperienza dell'utente.
LayerX offre una protezione completa contro tutte le minacce provenienti dal web, grazie al monitoraggio continuo, all'analisi dei rischi e all'applicazione in tempo reale di misure su qualsiasi evento e attività dell'utente durante la sessione di navigazione.
Le aziende sfruttano queste capacità per proteggere i propri dispositivi, identità, dati e app SaaS da minacce trasmesse dal Web e rischi di navigazione da cui le soluzioni endpoint e di rete non possono proteggere. Tra queste rientrano il blocco della perdita di dati sul Web, app SaaS e strumenti GenAI, la prevenzione del furto di credenziali tramite phishing, l'applicazione di un accesso sicuro alle risorse SaaS da parte della forza lavoro interna o esterna per mitigare il rischio di acquisizione di account, la scoperta e la disattivazione di estensioni del browser dannose, Shadow SaaS e altro ancora.
L'estensione LayerX Enterprise Browser si integra in modo nativo con qualsiasi browser, trasformandolo nell'ambiente di lavoro più sicuro e gestibile. Per saperne di più.
