Kaspersky ha dichiarato oggi che un token legittimo Amazon Simple Email Service (SES) rilasciato a un appaltatore di terze parti è stato recentemente utilizzato dagli attori delle minacce dietro una campagna di spear-phishing rivolta agli utenti di Office 365.
Amazon SES è un servizio e-mail scalabile progettato per consentire agli sviluppatori di inviare e-mail da qualsiasi app per vari casi d’uso, tra cui marketing e comunicazioni e-mail di massa.
Gli esperti di sicurezza di Kaspersky hanno collegato i tentativi di phishing a più criminali informatici che hanno utilizzato due kit di phishing in questa campagna, uno noto come Iamtheboss e un altro chiamato MIRCBOOT .
Nessun server compromesso
“Questo token di accesso è stato rilasciato a un appaltatore di terze parti durante i test del sito Web 2050.earth”, ha spiegato Kaspersky in un avviso pubblicato oggi, il primo del suo genere emesso dalla società di sicurezza informatica russa negli ultimi sei anni.
“Il sito è anche ospitato nell’infrastruttura di Amazon. Alla scoperta di questi attacchi di phishing, il token SES è stato immediatamente revocato.
“Nessuna compromissione del server, accesso non autorizzato al database o qualsiasi altra attività dannosa è stata trovata su 2050.earth e servizi associati.”
Gli autori delle minacce non hanno tentato di impersonare Kaspersky e hanno deciso di camuffare i loro messaggi di phishing come notifiche fax perse, reindirizzando le potenziali vittime a landing page di phishing progettate per raccogliere le loro credenziali Microsoft.
Tuttavia, hanno utilizzato un’e-mail ufficiale di Kaspersky e hanno inviato le e-mail dall’infrastruttura di Amazon Web Services, il che probabilmente li ha aiutati a raggiungere le cassette postali di destinazione eludendo facilmente la maggior parte delle protezioni Secure Email Gateway (SEG).
“Le e-mail di phishing di solito arrivano sotto forma di ‘notifiche fax’ e attirano gli utenti su siti Web fasulli che raccolgono credenziali per i servizi online di Microsoft”, ha aggiunto Kaspersky .
“Queste e-mail hanno vari indirizzi di mittenti, incluso ma non limitato a noreply@sm.kaspersky.com.”
Gli utenti hanno avvertito di essere cauti
Kaspersky incoraggia gli utenti e coloro che sono presi di mira in questi attacchi di spear-phishing a essere cauti e a rimanere vigili anche quando vengono richieste le loro credenziali o altre informazioni sensibili, anche se i messaggi che richiedono tali informazioni sembrano provenire da marchi o indirizzi e-mail familiari
È possibile trovare informazioni dettagliate sul controllo dell’identità del mittente utilizzando le intestazioni e-mail sul blog di Kaspersky .
Nelle notizie correlate, Microsoft ha anche avvertito ad agosto di una campagna di spear-phishing altamente evasiva rivolta ai clienti di Office 365 in più ondate da luglio 2020.
La società ha anche affermato a marzo che gli aggressori dietro un’operazione di phishing su larga scala hanno rubato circa 400.000 credenziali OWA e Office 365 da dicembre 2020.
Anche gli abbonati a Microsoft Defender ATP sono stati avvisati alla fine di gennaio di un numero crescente di attacchi di phishing di consenso (noto anche come phishing OAuth) rivolti ai lavoratori remoti.