Il team di sicurezza di Google (Threat Analysis Group), ha identificato una campagna Phishing su larga scala operata nei confronti di circa 12’000 account di posta Gmail. Secondo le analisi eseguite dal team di ricerca, l’attacco è da attribuire al gruppo APT28 (Fancy Bear) operante, secondo analisi pubbliche, per conto del governo Russo.

L’obiettivo dell’attacco era quello di sottrarre credenziali e/o token di sessione per l’accesso alle caselle di posta.
Gli attaccanti hanno simulato ipotetiche notifiche di compromissione (sostenendo si trattasse di attacchi governativi) chiedendo agli utenti di aggiornare la password. Esempio di E-mail:

Figura 1: Testo della mail di Phishing.

L’URL utilizzato da APT28 per la sottrazione delle credenziali ha la struttura:

attacker_subdomain[.]hosting_provider.tld/?usr=target@gmail.com&b=data

La pagina di Phishing, in apparenza identica a una pagina di accesso a Gmail, utilizza font diversi rispetto all’originale:

Fig. 2 – Phishing Page

I messaggi di phishing sono stati inviati da server di posta compromessi, la maggior parte di questi ha superato il controllo del SPF (Sender Policy Framework).

Le regioni più colpite per questa particolare campagna includono Stati Uniti, Regno Unito e India. Altre regioni degne di nota includono Canada, Russia, Brasile e diversi membri dell’Unione Europea.

Fig. 3 – Distribuzione dei target

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]