I ricercatori della sicurezza hanno scoperto una nuova campagna BEC (Business Email Compromise) che consiste in uno spear-phishing avanzato con tecniche di Adversary-in-The-Middle (AiTM). Questa operazione viene utilizzata per hackerare gli account Microsoft 365 dei dirigenti aziendali anche se in realtà sono protetti da MFA.
Per deviare una transazione di grandi dimensioni sui propri conti bancari, i criminali informatici possono rispondere alle e-mail nel momento esatto monitorando la comunicazione di dipendenti di alto rango come CEO o CFO di grandi organizzazioni accedendo ai loro account.
Questi tipi di attacchi di compromissione delle e-mail aziendali sono abbastanza comuni in cui un’e-mail viene inviata dagli hacker dall’account violato all’ultimo momento. In tali casi, i mittenti del fondo sono tenuti ad effettuare la transazione sul conto di proprietà degli hacker.
All’obiettivo di queste e-mail di phishing viene detto che il conto bancario aziendale su cui in genere effettua il pagamento è stato bloccato a causa di un’ispezione finanziaria. Vengono inoltre fornite nuove istruzioni di pagamento e viene chiesto di cambiare la destinazione del conto bancario. Tuttavia, le persone dietro questo nuovo conto bancario sono gli hacker che rubano i soldi.
Per far sì che la campagna abbia successo ingannando i destinatari, gli aggressori dirottano i thread di posta elettronica e utilizzano portali di typosquatting che tendono a passare rapidamente come autentici rappresentanti legali CCed che sono noti al bersaglio, collegandoli nello scambio.
Dal compromesso alla persistenza dell’AMF
I dirigenti dell’azienda hanno iniziato ad essere aggrediti con un’e-mail di phishing progettata per sembrare originata da DocuSign, una piattaforma di gestione degli accordi elettronici utilizzata in modo completo negli ambienti aziendali.
Anche se l’e-mail non supera i controlli DMARC, Mitiga ha notato che le comuni configurazioni errate di sicurezza introdotte per ridurre gli avvisi di spam falsi positivi da DocuSign ne aiutano a essere recapitati alla posta in arrivo del target.