Arriva il Natale – e i cybercriminali portano in dono nuove esche

Indice dei contenuti

Blog a cura di Selena Larson, Senior Threat intelligence Analyst, e del Threat Research Team di Proofpoint

Con il Natale ormai alle porte, gli attori delle minacce cercano di sfruttare il naturale desiderio delle persone di trarre un bilancio delle proprie attività, magari esplorando nuove offerte di lavoro o confidando in bonus di fine anno. I ricercatori di Proofpoint hanno osservato un aumento di contenuti puntuali e a tema che veicolano campagne malware, frodi e phishing di credenziali.

Un volo per le vacanze

Ad esempio, il 18 novembre, i ricercatori hanno identificato una campagna “Promozione per le vacanze invernali”, in cui i cybercriminali si fingevano una compagnia aerea. I messaggi sono stati inviati sia in spagnolo che in inglese e contenevano file eseguibili compressi che conducevano all’installazione di Remcos RAT. La campagna era a basso volume e includeva meno di 100 messaggi.

Merry Phishmas

La maggior parte delle esche a tema natalizio rilevate da Proofpoint è rappresentata da campagne di phishing di credenziali. In un’altra, iniziata il 9 dicembre, gli attori delle minacce si sono spacciati per specialisti di paghe o risorse umane, inviando informazioni sui bonus di fine anno e su “Buste paga dei dipendenti a Natale”.

I messaggi sono stati personalizzati con il logo dell’azienda destinataria o con un logo Microsoft e contenevano allegati Open Office XML (OOXML), anch’essi con il logo dell’organizzazione target, includendo un QRCode. Una volta scansionato, l’URL del codice indirizzava gli utenti a una pagina di autenticazione Microsoft contraffatta.

Una volta fornita l’e-mail, la pagina di phishing delle credenziali presentava il branding AAD (Azure Active Directory) dell’azienda dell’utente ed era progettata per raccogliere le sue credenziali, il token 2FA e recuperare un cookie di sessione associato. Questo risultato è stato ottenuto con la tecnica Adversary-in-the-Middle (AiTM), utilizzando le funzionalità di relay sincrono fornite dalla piattaforma Tycoon Phishing-as-a-Service (PhaaS).

Gli allegati Open Office XML (OOXML) sono file “brooxml” manipolati, appositamente creati dagli attori delle minacce che aggiungono all’inizio del file dati non consentiti dallo standard OOXML, ma che Microsoft Office può “correggere” automaticamente rimuovendoli. Come osservato da Proofpoint, si tratta di una tecnica abusata dagli attori delle minacce da agosto 2024 per tentare di aggirare il rilevamento delle sandbox.

Proofpoint ha rilevato numerose campagne che utilizzano temi festivi e bonus per fornire URL di phishing con credenziali Tycoon.

Corsi premio ed esche a tema vacanze

Lo scorso 12 dicembre, i ricercatori hanno identificato una campagna di phishing con credenziali AiTM che utilizzava una serie di temi legati alla fine dell’anno e alle festività. 

I messaggi sembravano provenire dal team HR dell’azienda presa di mira e includevano argomenti relativi a buste paga e bonus.

I messaggi contenevano allegati Microsoft Word personalizzati contenenti un codice QR che indirizzava gli utenti a una falsa pagina di autenticazione Microsoft. I nomi dei file dei documenti allegati includevano:

annual_loyalty_compensation_award.docx

december_achievement_compensation_award.docx

december_holiday_appreciation_voucher.docx

Quando un utente forniva un’e-mail al sito web di phishing delle credenziali, la pagina si mascherava come il login con marchio AAD della sua azienda. La pagina di phishing raccoglieva le credenziali dell’utente, i token 2FA e recuperava i cookie di sessione tramite un kit di phishing personalizzato con il brand di un fornitore di servizi di e-learning, SakaiPages.

Offerte di lavoro per le vacanze? In realtà truffe

Il 10 dicembre scorso, Proofpoint ha identificato una campagna di frode lavorativa, in cui i cybercriminali si spacciavano per l’azienda no-profit Project HOPE, che cercava di reclutare lavoratori come “Agente di collegamento con la comunità”. In molte e-mail, l’attore della minaccia sottolineava l’idea che si sarebbe trattato di un “guadagno extra” per le festività natalizie. I messaggi sono stati inviati da mittenti probabilmente compromessi, ma includevano un indirizzo di posta elettronica di contatto nel corpo di testo: [nomi vari]@jobs-projecthope[.]org.

Una minaccia di frode legata ai posti di lavoro si verifica quando un attore di minacce tenta di reclutare qualcuno con la premessa di un’offerta legittima, creandone di fraudolente nella speranza di rubare denaro tramite frodi con pagamento anticipato o criptovalute, tentare di ottenere informazioni di identificazione personale o reclutare un individuo per farlo partecipare inconsapevolmente ad attività illegali come il riciclaggio di denaro. I cybercriminali si spacciano in genere per reclutatori o datori di lavoro e cercano di attirare le vittime offrendo loro opportunità all’apparenza allettanti.

In questo caso, l’attaccante utilizza le comuni tattiche di frode occupazionale, abbinandole a un’esca puntuale per le festività natalizie. Cerca poi di invogliare il destinatario a contattarlo per ottenere ulteriori informazioni su un posto di lavoro, con l’obiettivo finale di condurre probabilmente una frode con pagamento anticipato. Questa campagna ha preso di mira soprattutto le università, che tendono a essere bersaglio frequente di questa tipologia di truffe.

A cosa si deve fare attenzione

Questa attività è coerente con quanto riscontrato nel corso di precedenti stagioni natalizie, in cui i malintenzionati iniziano a sfruttare minacce a tema festivo e di fine anno.

Durante questo periodo, gli attori delle minacce incontrano le persone dove si trovano sul web, alla ricerca di regali o offerte per il periodo. Per molti questo è anche un periodo di bilanci, in cui esplorano nuove opportunità lavorative o valutano la possibilità di ricevere bonus di fine anno, da investire nelle agognate vacanze. Questo li rende particolarmente suscettibili alle minacce portate dai cybercriminali, che hanno dalla loro parte anche la costante urgenza tipica del periodo: con il Natale o la fine dell’anno terminano molte offerte, si interrompono determinate promozioni, o semplicemente scadono i termini per presentare domande specifiche. Gli attori delle minacce approfittano di questo clima generale e confezionano esche che sembrano occasioni imperdibili per cercare di convincerle a fare scelte rischiose online. 

Eventi e Report

Focus Ecommerce ON

Notizie correlate

Secsolutionforum 2025 nel segno dell’AI

Indice dei contenuti L’unico evento digitale dove sicurezza fisica e logica si incontrano, torna dal 9 all’11 aprile 2025 Secsolutionforum, l’unico e immancabile evento digitale