Kaspersky ha scoperto che gli hacker hanno iniziato a sfruttare un altro servizio legittimo per scopi dannosi. Questa volta si tratta di Tencent EdgeOne Pages, una piattaforma per la creazione e l’hosting di applicazioni web.
I cybercriminali stanno abusando delle sue funzionalità per generare e-mail di phishing rivolte agli utenti aziendali. In precedenza, Kaspersky aveva già descritto attacchi simili che sfruttavano i servizi di Google e le applicazioni web generate da Bubble, una piattaforma di sviluppo di app basata sull’intelligenza artificiale, per sottrarre credenziali aziendali.
Tra i bersagli risultano dipendenti di diversi settori, tra cui quello industriale, commerciale e pubblico. L’obiettivo dell’attacco è il furto delle credenziali di accesso alle risorse aziendali. Negli ultimi 30 giorni, gli esperti di Kaspersky hanno individuato oltre 8.000 e-mail di phishing che utilizzavano questa tattica, tra cui messaggi in inglese, coreano e russo.
Tencent EdgeOne Pages si presenta come una piattaforma che consente di creare e distribuire rapidamente applicazioni web tramite l’intelligenza artificiale. I truffatori ne sfruttano le funzionalità per generare e pubblicare pagine di phishing in pochi minuti, senza richiedere particolari competenze di sviluppo web.
Gli autori degli attacchi ospitano le pagine di phishing sull’infrastruttura cloud legittima di EdgeOne e utilizzano domini affidabili. Di conseguenza, questi siti possono apparire sicuri e attendibili agli occhi di molte soluzioni di protezione, rendendo il rilevamento degli attacchi più complesso.
Come ha inizio l’attacco
L’utente riceve un’e-mail apparentemente inviata dal “team di assistenza e-mail aziendale”. Nel messaggio viene comunicato che le credenziali di accesso all’account scadranno entro 48 ore e che, in assenza di un aggiornamento, potrebbero verificarsi problemi nella ricezione o nell’invio delle e-mail. Per evitare limitazioni, all’utente viene richiesto di cliccare su un link e inserire le informazioni richieste. Le e-mail di phishing non si limitano a questo scenario e possono veicolare qualsiasi tipo di comunicazione aziendale, come un messaggio proveniente dal reparto Risorse Umane o una notifica relativa a un documento ricevuto da scaricare.
Cliccando sul link contenuto nell’e-mail, si apre una pagina con un modulo in cui la vittima è invitata a inserire nome, indirizzo e-mail e password. Il layout è estremamente semplice e quasi del tutto privo di elementi aggiuntivi.
Una volta inseriti nome utente e password, i dati vengono trasmessi a un server controllato dagli hacker.
“Stiamo assistendo al proseguimento di una tendenza che vede gli hacker utilizzare l’intelligenza artificiale e le piattaforme no-code come parte integrante della loro infrastruttura di phishing. In passato avevamo già osservato uno schema simile che sfruttava la piattaforma Bubble e ora ne abbiamo un altro esempio. Sebbene le comunicazioni utilizzate in questi attacchi di phishing siano tipiche e siano già state impiegate più volte in passato, la tecnica di attacco abbassa notevolmente la barriera all’ingresso per gli hacker e accelera la creazione di risorse di phishing. In passato ciò richiedeva almeno competenze di base nello sviluppo web, mentre oggi è possibile creare un’infrastruttura per e-mail fraudolente in pochi minuti”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.
Per proteggersi, Kaspersky consiglia di:
- Formare i dipendenti affinché comprendano che le credenziali aziendali devono essere inserite esclusivamente su piattaforme aziendali ufficiali e verificate.
- Implementare soluzioni di sicurezza affidabili in grado di bloccare l’accesso a siti di phishing noti o sospetti.
- Adottare tecnologie anti-phishing avanzate a livello di gateway di posta elettronica per ridurre l’esposizione a messaggi dannosi.
- Essere sempre aggiornati sull’evoluzione delle tecniche utilizzate dagli hacker e integrare la threat intelligence nelle operazioni di sicurezza.
