Descrizione e potenziali impatti

È stata rilevata una nuova campagna di phishing, volta a carpire le credenziali utente delle potenziali vittime, che utilizza come pretesto la visualizzazione di un presunto documento visionabile raggiungendo una risorsa malevola esterna.

Nel dettaglio tale campagna, veicolata tramite e-mail ed avente oggetto e contenuti scritti in italiano, presenta nel corpo del messaggio, con il pretesto di visualizzare un presunto documento, un link con il quale si invita la potenziale vittima a raggiungere una risorsa esterna.

Tale link veicola l’utente verso una landing page intermedia – ospitata tramite il servizio legittimo “Dynamic 365 Customer Voice” (customervoice.microsoft.com) – nella quale si rimarca la necessità di agire su un ulteriore link per visualizzare il presunto documento, come riportato negli esempi sottostanti:

Qualora dato seguito al link proposto, la vittima viene reindirizzata ad una landing page malevola, che propone un form di autenticazione analogo a quello trattato recentemente da questo CSIRT nella AL03/240112/CSIRT-ITA.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;
• valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) forniti in allegato.

Riferimenti

https://www.csirt.gov.it/contenuti/campagna-phishing-volta-a-carpire-credenziali-utente-al03-240112-csirt-ita