Barracuda full logo

Threat Spotlight: Un milione di attacchi di phishing-as-a-service in due mesi evidenziano una minaccia in rapida evoluzione

Argomenti:
19 mar 2025
|

I primi mesi del 2025 hanno visto un enorme aumento degli attacchi phishing-as-a-service (PhaaS) rivolti a organizzazioni in tutto il mondo, con oltre un milione di attacchi rilevati dai sistemi Barracuda a gennaio e febbraio.

Gli attacchi sono stati alimentati da diverse piattaforme PhaaS leader, tra cui Tycoon 2FA, EvilProxy e Sneaky 2FA.  Tra di loro, queste tre piattaforme mostrano come il PhaaS stia evolvendo per diventare sempre più complesso ed evasivo.

Tycoon 2FA è stata la piattaforma PhaaS più prominente e sofisticata attiva all'inizio del 2025. Ha rappresentato l'89% degli incidenti PhaaS registrati a gennaio 2025. Successivamente c'è stato EvilProxy, con una quota dell'8%, seguito da un nuovo concorrente, Sneaky 2FA, con una quota del 3% degli attacchi.

Attività di phishing as-a-service per piattaforma

L'ulteriore evoluzione di Tycoon 2FA

A metà febbraio 2025, gli analisti di Barracuda minacce hanno notato un'epidemia di attacchi con Tycoon 2FA. L'indagine ha rivelato che la piattaforma ha continuato a sviluppare e migliorare i suoi meccanismi evasivi, diventando ancora più difficile da rilevare.

Dettagli tecnici

In un precedente post sul blog su Tycoon 2FA, gli analisti hanno discusso gli script dannosi utilizzati per ostacolare l'analisi delle pagine phishing da parte dei difensori, ad esempio bloccando i tasti di scelta rapida.

Gli sviluppatori hanno ora abbandonato quell'approccio e lo hanno sostituito con qualcosa di ancora più evasivo.

  • Lo script aggiornato è criptato con un cifrario di Cesare — un cifrario di sostituzione a spostamento — anziché essere in chiaro. Questo script è responsabile di diversi processi, come il furto delle credenziali degli utenti e la loro esfiltrazione verso un server controllato dall'attaccante.
  • Alcuni esempi dello script includono Hangul Filler (o Unicode 3164), che è un carattere invisibile (ma non uno spazio) proveniente dal sistema di scrittura Hangul. Questi caratteri vengono spesso utilizzati per riempire lo spazio senza visualizzare alcun contenuto e sono comunemente impiegati nelle tecniche di offuscamento nel phishing.
  • Lo script aggiornato identifica il tipo di browser della vittima, probabilmente per evadere i meccanismi di difesa o personalizzare l'attacco. Include anche link a Telegram. Questi vengono spesso utilizzati per inviare segretamente i dati rubati agli attaccanti. Questo script contiene anche link di intercomunicazione come le richieste Ajax, che permettono di aggiornare parti di una pagina web in modo indipendente dal resto della pagina, e il script utilizza la crittografia AES per mascherare le credenziali prima di esfiltrarle a un server remoto, rendendo più difficile la rilevazione. 
Script Tycoon 2FA criptato con un cifrario di Cesare

A sinistra: Script criptato con cifrario di Cesare - A destra: Dopo la decrittazione.

EvilProxy — uno strumento pericolosamente accessibile

EvilProxy è un PhaaS particolarmente pericoloso perché richiede competenze tecniche minime, rendendo gli attacchi di phishing sofisticati accessibili a una gamma più ampia di criminali informatici.

EvilProxy consente agli attaccanti di mirare a servizi ampiamente utilizzati come Microsoft 365, Google e altre piattaforme basate su cloud. Attraverso email di phishing e link dannosi, EvilProxy inganna le vittime facendole entrare le loro credenziali su pagine di accesso che sembrano legittime.

Dettagli tecnici

  • Gli attacchi di phishing di EvilProxy utilizzano una configurazione di proxy inverso. Un proxy inverso è un server che si trova davanti ai server web e inoltra le richieste dei client (ad esempio, i browser web) a quei server web. Questo proxy inverso funge da ponte tra l'attaccante, la vittima e il servizio di destinazione.
  • Quando le vittime inseriscono le loro credenziali nella falsa pagina di login, le credenziali vengono inviate al sito web legittimo. Questo fornisce all'attaccante l'accesso in tempo reale all'account dell'utente senza suscitare sospetti.
  • Il codice sorgente utilizzato da EvilProxy per la sua pagina di phishing corrisponde strettamente al codice sorgente della pagina di login originale e legittima. Questo rende difficile distinguerla dal sito web originale e legittimo.

Nell'immagine sottostante, il codice sorgente della legittima pagina di login di Microsoft si trova a sinistra, mentre quello della pagina di phishing di EvilProxy si trova a destra.

Esempio di codice sorgente EvilProxy

A sinistra: codice sorgente dell'accesso legittimo a Microsoft - A destra: codice sorgente di EvilProxy

Sneaky 2FA compila gentilmente il modulo di phishing per le vittime.

Il terzo PhaaS più prominente all'inizio del 2025 era Sneaky 2FA, la piattaforma per attacchi di avversari nel mezzo (AiTM) mirati agli account di Microsoft 365 alla ricerca di credenziali e accesso

Le vittime ricevono un'email che contiene un link. Se cliccano sul link, vengono reindirizzati a una pagina di accesso Microsoft contraffatta e dannosa. Gli attaccanti verificano che l'utente sia una vittima legittima e non uno strumento di sicurezza, prima di pre-compilare la falsa pagina di phishing con l'indirizzo email della vittima, abusando della funzionalità ‘autograb’ di Microsoft 365.

Il kit di attacco viene venduto come servizio dall'organizzazione di cybercrimine, Sneaky Log. È conosciuto come Sneaky 2FA perché può eludere l'autenticazione a due fattori.  Sneaky 2FA sfrutta il servizio di messaggistica Telegram e funziona come un bot.

Dettagli tecnici

  • L'URL di phishing dell'attaccante include come parametro l'indirizzo e-mail del target, in testo normale o codificato in Base64 (che consente di trasformare dati binari come immagini o file in un formato di testo e di trasmetterli su supporti che supportano solo testo, come e-mail o URL). Ad esempio: hxxps://phishing_url/00/#email_id
  • Le URL di phishing di Sneaky 2FA solitamente sono composte da 150 caratteri alfanumerici, seguiti dal percorso /index, /verify e /validate. 
Esempio di pagina di accesso di Sneaky 2FA

Questo schema consente agli attaccanti di tracciare i visitatori delle sue finte pagine di accesso Microsoft e di filtrare gli obiettivi che non desiderano, poiché è improbabile che siano utenti legittimi e potenziali vittime.

  • Gli attaccanti di Sneaky 2FA cercano di determinare se l'indirizzo IP di un visitatore proviene da un data center, da un provider cloud, da un bot, da un proxy, da una VPN, o se è associato a abusi noti. Se il server ritiene che il traffico del visitatore non corrisponda a quello generato dalle vittime mirate, il kit di phishing reindirizza il visitatore a una pagina Wikipedia relativa a Microsoft o Windows utilizzando l'href[.]li. servizio di reindirizzamento. Possiamo vedere questo script di reindirizzamento all'interno dell'elemento del codice sorgente.
Reindirizzamento di Wikipedia.

Reindirizzamento di Wikipedia.

Come riconoscere un attacco PhaaS.

Evita di inserire le tue credenziali se:

  • Una pagina di accesso include un dominio di primo livello ".ru" (l'ultima parte di un URL), e l'ID email della vittima è incorporato nell'URL di phishing, sia in forma di testo semplice che codificato in Base64. Questi indizi potrebbero indicare un attacco Tycoon 2FA.
  • Gli attacchi EvilProxy sono più difficili da rilevare perché utilizzano un URL casuale. Tuttavia, se pensi che l'URL della pagina di accesso di Microsoft o Google sia diverso da quello abituale, evita di inserire le tue credenziali.  Un altro segnale rivelatore sono richieste MFA insolite, come ricevere richieste di autenticazione a più fattori quando in realtà non stai effettuando l'accesso.
  • Per rilevare Sneaky 2FA, verifica se l'URL della pagina web contiene una stringa alfanumerica di 150 caratteri seguita da /verify, /index o /validate alla fine dell'URL.

Rafforzare la Sicurezza E-mail

Le email di phishing sono il punto di ingresso per molti attacchi, dal furto di credenziali alle frodi finanziarie, al ransomware e altro ancora. Le piattaforme che alimentano il phishing-as-a-service sono sempre più complesse ed evasive, rendendo gli attacchi di phishing più difficili da rilevare per gli strumenti di sicurezza tradizionali e più potenti in termini di danni che possono causare.

Una soluzione avanzata di sicurezza email basata sulla strategia della difesa in profondità, come Barracuda Email Security, è fondamentale e dovrebbe essere dotata di rilevamento multilivello con tecnologie AI/ML per proteggere le organizzazioni e i dipendenti dagli attacchi basati su PhaaS.

La formazione sulla sicurezza per i dipendenti che li aiuta a comprendere i segnali e i comportamenti delle minacce più recenti è altrettanto importante. Incoraggia i dipendenti a segnalare le pagine di accesso Microsoft/Google sospette. Se le trovi, esegui un'analisi approfondita dei log e verifica eventuali anomalie nell'autenticazione a più fattori (MFA).

Questi elementi dovrebbero essere completati da politiche robuste e coerenti di accesso e autenticazione sicura e da una soluzione MFA resistente al phishing, come le chiavi di sicurezza FIDO2.

Ashitosh Deshnur, Associate Threat Analyst presso Barracuda, ha contribuito alla ricerca per questo post del blog.

Rapporto: Le principali minacce e tendenze via email
Post correlati:
New, simpler onboarding wizard for Barracuda Email Protection
New, simpler onboarding wizard for Barracuda Email Protection
 Cl0p ransomware: The skeezy invader that bites while you sleep
Cl0p ransomware: The skeezy invader that bites while you sleep
 I file del caso SOC: la gang di ransomware armata di Python riemerge per affrontare un muro di difese XDR
I file del caso SOC: la gang di ransomware armata di Python riemerge per affrontare un muro di difese XDR
 Radar delle minacce SOC — Maggio 2025
Radar delle minacce SOC — Maggio 2025
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.