Microsoft avverte dell’attacco di phishing SEABORGIUM che farà amicizia con te prima per derubarti in seguito

Il Microsoft Threat Intelligence Center (MSTIC) ha pubblicato un avviso su una campagna di phishing chiamata “SEABORGIUM”. Sebbene non sia nuovo, essendo in circolazione almeno dal 2017, Microsoft ritiene di aver imparato abbastanza su SEABORGIUM e su come funziona per rilasciare una guida completa che potrebbe aiutare le potenziali vittime a evitarlo.

Il pericolo della campagna sta nel modo in cui gli attaccanti lanciano l’attacco. Sono stati visti per la prima volta per condurre ricognizioni o sorveglianza ravvicinata di potenziali vittime utilizzando profili di social media fraudolenti. Vengono inoltre generati più indirizzi e-mail per impersonare ID reali di persone autentiche per contattare gli obiettivi.

Di seguito è riportato un esempio di una recente e-mail inviata dagli aggressori a obiettivi per creare fiducia e creare rapporti:

Successivamente, Microsoft afferma che gli attori di SEABORGIUM forniscono URL dannosi direttamente nella posta elettronica o tramite allegati, come puoi vedere di seguito, spesso imitando servizi di hosting come OneDrive di Microsoft:

Ad esempio, ecco un esempio (sotto) di un allegato che non ha un’anteprima disponibile, che potrebbe indurre le vittime a fare clic su un collegamento dannoso che indirizza le vittime a portali di phishing:

Microsoft ha notato l’uso del kit di phishing EvilGinx in questo caso per rubare le credenziali delle vittime. L’immagine sotto mostra un portale di phishing sviluppato da SEABORGIUM per indurre le vittime a rubare i loro dati di accesso.

Nell’ambito di questa campagna globale SEABORGIUM, Microsoft ha osservato principalmente violazioni dei dati e manomissioni delle informazioni. Il colosso di Redmond ha spiegato nel dettaglio l’impatto del primo:

Esfiltrazione e impatto dei dati

• Esfiltrazione di intelligence: è stato osservato che SEABORGIUM estrae e-mail e allegati dalle cassette postali delle vittime.
• Configurazione della raccolta permanente dei dati: in casi limitati, è stato visto che SEABORGIUM configura regole di inoltro dalle cassette postali della vittima agli account segreti controllati dal soggetto, dove il soggetto ha accesso a lungo termine ai dati raccolti. Abbiamo ripetutamente osservato come gli attori potrebbero accedere ai dati delle mailing list per gruppi sensibili, come quelli frequentati da ex funzionari dell’intelligence, e supportare la raccolta di informazioni dalle mailing list per il successivo targeting ed esfiltrazione.
• Accesso alle persone di interesse: ci sono stati diversi casi in cui SEABORGIUM ha utilizzato i propri account di modello per facilitare il dialogo con specifiche persone di interesse e, di conseguenza, è stato incluso in conversazioni, a volte involontariamente, coinvolgendo più parti. La natura delle conversazioni scoperte dalle indagini Microsoft suggerisce la divulgazione di informazioni potenzialmente sensibili che potrebbero essere di valore di intelligence.

Puoi trovare maggiori dettagli nel post ufficiale del blog sul sito Microsoft qui .