Microsoft ha acquisito il controllo di sei portali web di phishing “Coronavirus”

Microsoft ha acquisito il controllo di sei portali web dei cosiddetti truffatori “Coronavirus” attraverso il tribunale. Questi domini sono stati coinvolti in più attività di phishing destinate agli utenti di Office 365. Gli hacker sono attivi da dicembre 2019 e negli ultimi tempi hanno attivamente manipolato gli argomenti della pandemia e COVID-19.

Ricorda che i cyber criminali attaccano anche i creatori del vaccino COVID-19 durante una pandemia. Alle aziende sono state inviate e-mail da phisher che contenevano server di posta e infrastruttura aziendale nel cloud di Microsoft Office 365. Il contenuto delle e-mail è stato scritto come se fosse stato scritto da un assistente o da un partner commerciale fidato della vittima.

Si distingue che questa campagna era molto rara, poiché gli aggressori non reindirizzavano gli utenti a siti di truffa che impressionavano la pagina di accesso in Office 365. Invece, i criminali hanno usato un documento di Office. Quando gli utenti hanno tentato di aprire questo file, è stato eseguito un reindirizzamento per installare un’applicazione Office 365 di terze parti malevola, creata da cyber hacker.

Se i truffatori hanno catturato il destinatario e ha installato l’applicazione, gli aggressori hanno pieno accesso al suo account Office 365, impostazioni, file, contenuto e-mail, elenchi di contatti, note e così via.

“Grazie a questa applicazione, gli hacker hanno avuto pieno accesso agli account utente, anche senza il furto di password, perché invece gli aggressori avevano il token OAuth2”, – riferisce Microsoft.

Inoltre, l’ambiente di Office 365 è modulare e le persone sono abituate a installare applicazioni su base regolare. Inoltre, un link per installare un’applicazione pericolosa ha prima portato gli utenti alla pagina di accesso ufficiale di Microsoft. Solo dopo un’autenticazione riuscita, gli aggressori hanno fatto un trucco e reindirizzato le vittime per scaricare un’applicazione viziosa, creando l’impressione che le vittime stessero usando un software autentico, verificato da Microsoft.

“Peggio ancora, malware di terze parti potrebbe essere utilizzato per analizzare l’infrastruttura interna delle vittime, e quindi gli aggressori hanno utilizzato le informazioni raccolte in questo modo per gli attacchi BEC”, – ha dichiarato Tom Burt, Vice President di Microsoft Corporation.

Tipicamente BEC (Bussiness Email Compromise) significa che l’account e-mail valido di uno dei dipendenti dell’azienda è stato compromesso. Successivamente, gli hacker utilizzano questo account per inviare lettere false ai dipendenti della stessa società o dei suoi partner e utilizzano il social engineering per convincerli a trasferire fondi su account falsi, nascondendosi dietro fatture false e transazioni non veritiere.