In atto campagna di phishing con invito ad aggiornare WebMail Pro
phishing
Il CERT-AGID, a seguito della segnalazione di Salvatore Lombardo, ha potuto riscontrare ed analizzare una campagna di phishing a tema finto aggiornamento WebMail Pro versione 8.2.16. Si riporta di seguito il testo della email originale:
La campagna è di tipo generica, sembra non avere un target preciso e dalle analisi svolte coinvolge anche la Pubblica Amministrazione. L’email di phishing basa la sua efficacia sul carattere di urgenza dell’azione, sulla minaccia del blocco dell’email vittima e sul finto aggiornamento del software WebMail Pro alla versione 8.2.16.
Il file HTML allegato corrispondente alla pagina di phishing, contiene una debole forma di offuscamento mediante l’utilizzo della funzione Javascript “unescape” in grado di convertire stringhe esadecimali nei caratteri corrispondenti.
Aprendo l’allegato, la pagina contiene una semplice form anonima con user precompilata, una richiesta di password da inserire e un pulsante che invita ad aggiornare l’account email. “Forgot you password” e “Stay signed in” non sono funzionanti.
Osservando la parte più interessante della pagina, nonché la form di invio dati, si osserva facilmente che il C2 dove i dati sono inviati è la URL: https[:]//myanchormarketplace.com/2@/lolo.php.
Il CERT-AGID, mediante successive analisi, ha potuto riscontrare i log delle sottomissioni del form della pagina di phishing. Di seguito si riporta un esempio di log estratto:
Si consiglia pertanto di prestare attenzione a questo genere di messaggi poichè scopo dell’attività malevola è quello di sottrarre le credenziali di accesso alle caselle di posta elettronica.
Indicatori di compromissione
Il CERT-AGID ha già condiviso i relativi IoC attraverso la sue piattaforme per favorirne la loro diffusione.
Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:
Link: Download IoC