Il team di sicurezza di Google (Threat Analysis Group), ha identificato una campagna Phishing su larga scala operata nei confronti di circa 12’000 account di posta Gmail. Secondo le analisi eseguite dal team di ricerca, l’attacco è da attribuire al gruppo APT28 (Fancy Bear) operante, secondo analisi pubbliche, per conto del governo Russo.

L’obiettivo dell’attacco era quello di sottrarre credenziali e/o token di sessione per l’accesso alle caselle di posta.
Gli attaccanti hanno simulato ipotetiche notifiche di compromissione (sostenendo si trattasse di attacchi governativi) chiedendo agli utenti di aggiornare la password. Esempio di E-mail:

Figura 1: Testo della mail di Phishing.

L’URL utilizzato da APT28 per la sottrazione delle credenziali ha la struttura:

attacker_subdomain[.]hosting_provider.tld/?usr=target@gmail.com&b=data

La pagina di Phishing, in apparenza identica a una pagina di accesso a Gmail, utilizza font diversi rispetto all’originale:

Fig. 2 – Phishing Page

I messaggi di phishing sono stati inviati da server di posta compromessi, la maggior parte di questi ha superato il controllo del SPF (Sender Policy Framework).

Le regioni più colpite per questa particolare campagna includono Stati Uniti, Regno Unito e India. Altre regioni degne di nota includono Canada, Russia, Brasile e diversi membri dell’Unione Europea.

Fig. 3 – Distribuzione dei target