Il Red Team di NGSesurity ha notato un aumento degli attacchi in cui gli aggressori utilizzano
infrastrutture ben conosciute per ingannare gli utenti e indurli a fornire le proprie credenziali
personali.
Punti Chiave:
• La raccolta di credenziali (Credential Harvesting) è molto redditizia per i criminali informatici.
• I criminali informatici hanno aumentato l'uso di infrastrutture ben conosciute per raccogliere
credenziali.
• I gateway di posta elettronica sicura sono in una posizione unica per fermare questo tipo di
attacchi.
Le credenziali rubate sono uno dei metodi più efficaci e comuni per penetrare le difese di
un'organizzazione. Gli Hacker rubano queste credenziali attraverso attacchi di raccolta di credenziali,
spesso tramite phishing via email. Una volta in loro possesso, le credenziali degli utenti vengono
utilizzate per ottenere facilmente accesso ai sistemi o possono anche essere scambiate o vendute
nel dark web per finanziare ulteriori attività dannose.
Come parte dei loro sforzi di attacco online, i criminali informatici lanciano siti di phishing, sui quali
gli utenti vengono reindirizzati quando cliccano sui link maligni contenuti nelle email di phishing che
ricevono. Questi siti falsi, che spesso imitano siti reali e ben conosciuti, sono il luogo in cui gli utenti
inseriscono le loro credenziali, solo per vederle rubate.
Inizialmente, questi siti di phishing erano ospitati su domini sospetti, che erano più facili da rilevare
dalla maggior parte degli strumenti di sicurezza.
Per evitare che i loro siti maligni vengano scoperti facilmente, i criminali informatici utilizzano
infrastrutture fornite da aziende ben conosciute per nascondere la provenienza delle loro pagine
web e farle sembrare che utilizzino domini e certificati legittimi.
Secondo ricerche effettuate negli ultimi anni molte pagine web phishing sfruttano l'infrastruttura di
Google per aggirare i livelli di sicurezza, raggiungere gli utenti e poi ingannarli inducendoli a cedere
le loro credenziali personali.
La Tecnica
Google Translate offre un servizio online per la traduzione di siti web. Fornendo un URL, restituisce
una pagina web identica con il suo testo tradotto nella lingua desiderata.
Ad esempio, un utente può inserire l'URL del giornale La Repubblica, una rivista settimanale di
notizie Italiana, e ottenere l'intera pagina tradotta in una qualsiasi delle lingue supportate da Google
Translate.
Di seguito la rivista Originale:
Di seguito la rivista tradotta in Tedesco:
Il Potenziale Danno
Molte pagine di phishing sono ospitate utilizzando IPFS di Cloudflare (seguici dedicheremo un
articolo), o altri servizi di hosting, per poi essere camuffate tramite la traduzione del sito web di
Google Translate.
Alcune di queste pagine restano attive per più di un mese prima di essere scoperte.
VirusTotal, che aggrega molti motori di scansione, mostra che gli URL originali ricevono più
rilevamenti rispetto a quelli che utilizzano il dominio di Google Translate. Questo dimostra l'efficacia
di questo vettore di attacco.
Di seguito, si può notare, che VirusTotal per l'URL originale viene segnalato da 15 vendor, e per lo
stesso URL, utilizzando Google Translate, viene segnalato da solo 6 vendor (abbiamo embendato una payload).
Ciò evidenzia come l'uso di Google Translate, usato per il camuffamento, riduca il numero di rilevamenti da parte degli
strumenti di sicurezza. Questo dimostra quanto possa essere efficace questo vettore di attacco nel bypassare i sistemi di
protezione.
Questo POC permette di capire nitidamente che l'utilizzo di infrastrutture note come ad esempio
Google e Cloudflare, Permettano di bypassare i sistemi di sicurezza, e questo dimostra anche perché siano le più scelte dagli hacker.
Ora, oltre all'esempio fatto con la rivista la repubblica, proviamo ad immaginare un contesto reale
nella quale le intenzioni dell' hacker sono quelle di rubare le credenziali del portale di Amazon di un
utente Tedesco.
Di seguito la pagina originale Italiana:
Di seguito la pagina tradotta in tedesco:
La maggior parte degli utenti aprirà l'URL, riconoscerà l'aspetto della schermata di login di Amazon e,
probabilmente, nel caso in cui non notasse l'uso di Google Traduttore (in alto a sinistra), presumerà
di stare utilizzando un servizio ufficiale di Amazon e inserirà le proprie credenziali, che potrebbero
essere poi rubate.
Il Trick che vogliamo evidenziare è che, queste pagine phishing tradotte, utilizzano una firma
legittima di Google Trust Services.
Il fatto che il certificato e il dominio siano ufficiali di Google, in molti casi, può aiutare l'URL a
bypassare i gateway di sicurezza che approvano automaticamente i servizi di Google come affidabili.
Conclusione
Gli strumenti di sicurezza basati su liste di blocco e firme, probabilmente fallirebbero nel rilevare
questo tipo di attacco. Il SOC (Security Operations Center) di NGSecurity è progettato per
monitorare in tempo reale qualsiasi tipo di ambiente IT, anche i più complessi.
Grazie a capacità avanzate di rilevamento e risposta agli incidenti, il SOC è ideale per identificare e
rispondere rapidamente ai rischi, riducendo la complessità e migliorando l’efficacia delle difese.
Il SOC di NGSecurity analizza le minacce in tempo reale, utilizzando avanzati processi di linguaggio
naturale e di elaborazione delle immagini per produrre euristiche sul potenziale danno di una pagina
web, rilevando così questo tipo di attacchi. Quindi, mentre altri strumenti di sicurezza permettono
agli utenti di visitare siti maligni e inserire le proprie credenziali, per poi vedersele rubate, il SOC di
NGSecurity è in grado di identificare e bloccare l'attacco già prima che raggiunga gli utenti,
monitorando e rilevando link sospetti in tempo reale.
Arrivederci
I professionisti preoccupati per attacchi come quello scoperto in questa nuova ricerca del team di
NGSecurity dovrebbero tornare regolarmente su questo blog per aggiornamenti su nuove scoperte.
E se non l'avessero già fatto, dovrebbero prendere in considerazione l’implementazione del SOC di
NGSecurity per monitorare e fermare questi attacchi prima che vengano consegnati agli utenti.
Follow US!!!
