Websense ThreatSeeker Intelligence Cloud ha recentemente rilevato una pericolosa campagna di phishing che colpisce il settore sanitario e gli ospedali, rubando le credenziali di Outlook. Come evidenziato dalla società, questa serie di attacchi mirati rientra nell’attuale tendenza delle campagne di phishing, studiate principalemente per recuperare le credenziali degli utenti del settore sanitario e quelle di Outlook.
Una volta superate le difese di una o più postazioni, i cybercriminali possono sfruttarle come punto di appoggio all’interno dell’organizzazione della vittima. Ciò consente di cercare altri obiettivi ad alto valore, e quindi di inviare email che sembrano legittime per ottenere informazioni aggiuntive e accedere all’infrastruttura strategica o ai dati. Inoltre, consente agli hacker di sfruttare la buona reputazione degli account compromessi per colpire gli altri contatti all’interno dell’azienda.
La procedura di attacco inizia con una email di phishing con l’oggetto “Your Mailbox account closure”, distribuita a tutti gli utenti e contenente un invito verso un link esterno. Se l’utente segue il link verrà reindirizzato a webauthlineoutlweb.url.ph, dove si presentano con una pagina di login Outlook dall’aspetto legittimo, che viene usata per rubare le credenziali. La campagna è altamente mirata. La telemetria ThreatSeeker mostra che Websense Cloud Email Security ha bloccato meno di 200 messaggi di questo tipo, tutti destinati a un’organizzazione sanitaria degli USA, tra il 12/09/2014 6:19:34 AM PDT e il 12/09/2014 7:13:10 AM PDT.
Rivedendo il percorso email, sembra che sia stato usato un account compromesso per inviare questa campagna. Questo suggerisce che gli attori dietro a queste azioni cercano letteralmente di portarla avanti, passando da una società infetta all’altra e traendo vantaggio dalla reputazione delle aziende colpite. È particolarmente interessante dal momento che l’account compromesso è anche un provider healthcare, che può avere una buona reputazione all’interno dei sistemi di protezione email della vittima. Questo contribuisce a superare i sistemi di sicurezza basati sulla reputazione.
Per aiutare utenti e clienti, i Websense Security Labs continueranno a monitorare questa campagna e ad aggiornare il blog di riferimento. Per color che si sono dotati di una piattaforma Websense è garantita la protezione da questo tipo di minacce attraverso ACE, Advanced Classification Engine. Lo strumento lavora secondo differenti fasi successive, intercettando la mail esca e il link contenuto, oltre alla relativa destinazione finale del sito di phishing.
