Aggiornamenti recenti Giugno 23rd, 2025 4:08 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cybercriminali russi aggirano l’MFA di Gmail con una campagna di phishing sofisticata
- Anche Viasat vittima del cyberspionaggio di Salt Typhoon
- Asana: un bug nell’integrazione AI esponeva i dati aziendali
- Deepfake per distribuire malware su macOS: la nuova minaccia nord-coreana
- Due bug LPE consentono di ottenere i privilegi di root su Linux
Cybercriminali russi aggirano l’MFA di Gmail con una campagna di phishing sofisticata
Il team del Google Threat Intelligence ha pubblicato una nuova analisi in cui descrive una nuova campagna di phishing che consente agli attaccanti di aggirare l’MFA di Gmail grazie alle Application Specific Password (ASP).
Le ASP sono passcode di 16 cifre che consentono a un’applicazione o a un dispositivo meno sicuri di accedere a un Account Google con attiva l’autenticazione multi-fattore. Da documentazione Google sconsiglia l’utilizzo delle ASP.
La campagna del gruppo si basa sul convincere la vittima a creare e condividere uno screenshot di una ASP per permettere agli attaccanti di accedere all’account senza dover gestire l’MFA. Come riportato anche da The Citizen Lab, la prima notifica dell’attacco è arrivata da Keir Giles, un noto ricercatore inglese attivo nel controspionaggio contro la Russia.
Il 22 maggio Giles ha ricevuto un’email in cui il mittente era una certa “Claudie S. Weber” del Dipartimento di Stato statunitense. Nel messaggio Weber invitava Giles a un meeting con lei e alcuni suoi colleghi per parlare di alcuni “recenti sviluppi”, senza specificare di cosa si trattasse. Alcuni degli indirizzi email in CC terminavano con @state.gov, un trucco degli attaccanti per far apparire la comunicazione legittima.
Giles ha voluto approfondire la questione e ha risposto alla mail; tale Weber allora ha inviato un PDF con le istruzioni per registrare un account guest per conversare coi membri del Dipartimento dello Stato. Il PDF, che a una prima occhiata sembra legittimo, richiede alle vittime di navigare su un link Google per creare una ASP; in seguito, gli attaccanti chiedono all’utente di condividere con loro il codice di 16 cifre generato, apparentemente per consentirgli di accedere alla piattaforma del Dipartimento.
Il codice viene invece utilizzato dal gruppo per prendere il controllo dell’account Google della vittima, riuscendo di conseguenza ad accedere a tutte le email scambiate. Gli attaccanti hanno utilizzato per lo più proxy residenziali e server VPS per accedere agli account.
L’attacco a Gmail che supera l’MFA: la risposta di Google
Secondo il Google Threat Intelligence Group, dietro gli attacchi ci sarebbe UNC6293, un gruppo di cybercriminali che opera per conto del governo russo. Il team di sicurezza ritiene che il gruppo possa essere legato ad APT29, un’altra gang russa nota per aver distribuito la backdoor WINELOADER, anche se non ci sono indicazioni certe di una qualche relazione.
I ricercatori di The Citizen Lab sottolineano che l’attacco è altamente sofisticato e che richiede una preparazione molto attenta: il gruppo ha creato numerosi account falsi per far apparire le comunicazioni come legittime e hanno posto molta attenzione al tono dei messaggi scambiati, senza mai far nascere il senso di urgenza nella vittima.
“L’interazione si è svolta in più di 10 scambi nel corso di diverse settimane, dimostrando una notevole pazienza da parte degli attaccanti” spiegano i ricercatori. “Gli autori dell’attacco erano anche pronti con le risposte e preparati ad adattarsi in base alle repliche di Giles. Ad esempio, dopo che Giles ha affermato che non sarebbe riuscito a partecipare al meeting nella data proposta, gli autori dell’attacco hanno scelto di non esercitare pressioni o urgenza in modo esplicito, suggerendo invece di creare la piattaforma per il futuro“.
Il gruppo è effettivamente riuscito a convincere Giles a creare e condividere l’ASP, anche su diversi account. Google ha in seguito identificato l’attacco e ha disabilitato le email degli attaccanti, oltre che gli account compromessi. In un post su X, Giles ha confermato che c’è stato un login sospetto al suo account e ha quindi avvertito i suoi contatti di trattare con la massima attenzione eventuali comunicazioni o allegati inviati da uno dei suoi indirizzi email.
Oltre a quella che ha colpito Giles, Google ha individuato anche un’altra campagna analoga del gruppo che sfruttava invece figure legate al governo ucraino.
Visto il livello di sofisticazione della campagna e le personalità centrali prese di mira dagli attaccanti, la compagnia di Mountain View consiglia agli utenti a rischio di aderire al suo Advanced Protection Program volto a tutelare gli account che hanno elevata visibilità e gestiscono informazioni sensibili. Il programma, tra le altre cose, comprende il blocco della creazione di ASP.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cybercriminali russi aggirano l’MFA di Gmail con una... Il team del Google Threat Intelligence ha pubblicato una... -
Anche Viasat vittima del cyberspionaggio di Salt Typhoon Anche Viasat, colosso delle telecomunicazioni americano, è... -
Asana: un bug nell’integrazione AI esponeva i dati... Abbiamo appena parlato della prima vulnerabilità mai... -
Deepfake per distribuire malware su macOS: la nuova... Secondo una recente analisi di Huntress, BlueNoroff, un... -
Due bug LPE consentono di ottenere i privilegi di root su... I ricercatori di Qualys Threat Research Unit hanno...
Ransomware: la serie
No posts found.