Barracuda full logo

Radar delle minacce via email – Aprile 2025

Argomenti:
29 apr 2025
|

Nel corso dell'ultimo mese, gli analisti delle minacce di Barracuda hanno identificato diverse minacce tramite email degne di nota che prendono di mira le organizzazioni di tutto il mondo e sono progettate per eludere il rilevamento e aumentare le probabilità di successo, tra cui:

  • Attacchi email che prendono di mira le vittime con inviti tossici al calendario
  • Kit di phishing che abusano di una piattaforma di condivisione file fidata
  • Phishing tramite voicemail che ritorna dopo diversi mesi di declino

Gli inviti tossici al calendario sono un'altra trappola email per le vittime.

Istogramma delle minacce

Gli analisti delle minacce di Barracuda hanno individuato il Sneaky 2FA kit di phishing che distribuisce inviti avvelenati al calendario in un attacco progettato per rubare le credenziali degli utenti.

Gli allegati ICS (iCalendar) funzionano su diverse piattaforme come Google Calendar, Microsoft Outlook e Apple Calendar. Questa compatibilità rende i file ICS (.ics) popolari per la pianificazione di eventi, riunioni e appuntamenti tra organizzazioni. Sono particolarmente utili per le riunioni virtuali, poiché possono contenere URL per videochiamate o documenti correlati.

Nell'attacco osservato dagli analisti delle minacce di Barracuda, il corpo dell'email è vuoto e c'è solo un link a un file ICS che sembra essere un invito a calendario legittimo. Il file contiene alcuni dettagli dell'evento oltre a un link di phishing che afferma di portare il destinatario a una fattura non pagata.

Esempio di invito dannoso al calendario
Quando il destinatario apre l'invito, c'è un collegamento che punta alla legittima piattaforma di Monday dove è ospitato il contenuto di phishing.
Esempio di codice da un invito di calendario dannoso
Alla vittima viene presentata una verifica CAPTCHA e deve fare clic su "visualizza documento", che li reindirizza a una pagina di phishing progettata per rubare le loro credenziali Microsoft.
Esempio di pagina di phishing

Segni da cercare

  • Qualsiasi dei seguenti: un invito a una riunione che non ti aspetti, da qualcuno che non conosci o da cui non senti spesso, per discutere qualcosa di cui non sei a conoscenza, e senza contesto o messaggio di copertura, dovrebbe far suonare l'allarme. Segnala il messaggio al tuo team di sicurezza e verifica direttamente con il mittente, se appropriato, per confermare se il messaggio è legittimo.
  • L'uso degli inviti del calendario negli attacchi di phishing è in aumento, con diversi report di inviti di Google Calendar falsificati in campagne di phishing.
  • Poiché i file ICS sono spesso considerati innocui e non tutti gli strumenti di sicurezza riescono a individuare inviti dannosi, questo rappresenta una nuova opportunità — almeno per un po' — per gli aggressori di bypassare i controlli di sicurezza e intrappolare le vittime.

Kit di phishing abusano di ShareFile per lanciare centinaia di attacchi

Istogramma delle minacce

Gli analisti delle minacce di Barracuda hanno individuato diverse centinaia di attacchi da parte di famigerati kit di phishing che sfruttano la legittima piattaforma di condivisione documenti ShareFile.

I kit stanno ospitando moduli di accesso falsi su ShareFile e inviando URL di ShareFile a potenziali vittime.

Questa non è la prima volta che gli analisti delle minacce di Barracuda hanno trovato contenuti di phishing ospitati su ShareFile, ma il suo utilizzo da parte di piattaforme di phishing-as-a-service (PhaaS) di rilievo è un nuovo sviluppo. Questa tattica sembra essere l'ultima di una lunga serie di adattamenti da parte dei gruppi PhaaS per eludere il rilevamento, aumentare l'invisibilità e garantire la sopravvivenza delle campagne di phishing.

I kit che ospitano contenuti su ShareFile sono i Tycoon 2FA e Mamba 2FA, avanzati e in rapida evoluzione. Barracuda ha recentemente segnalato il comportamento di Tycoon 2FA e altre piattaforme PhaaS in ascesa. Mamba 2FA segue un approccio simile.

Mamba 2FA — un altro PhaaS "Most Wanted"

Mamba 2FA prende di mira gli utenti di Microsoft 365 e può intercettare codici monouso e cookie di autenticazione per bypassare l'autenticazione multifattore.

Le tecniche di evasione includono l'utilizzo di server proxy e di link di phishing a breve durata e rotanti che aiutano a evitare il blocco, allegati HTML con alcuni contenuti spazzatura per evitare il rilevamento da parte degli strumenti di sicurezza, e il rilevamento di sandbox che invia traffico indesiderato — come gli strumenti di scansione di sicurezza — a un sito non correlato, come le pagine web di errore 404 di Google.

Il metodo di attacco ShareFile

Le email di phishing solitamente impersonano SharePoint o DocuSign e presentano una notifica di condivisione file e un link che li porterà a un documento falso ospitato su ShareFile.

Esempio di un attacco ShareFile

Poiché l'email include un URL ShareFile legittimo, il messaggio non segnala alcun problema di sicurezza. E poiché i destinatari conoscono e si fidano della piattaforma, è anche più probabile che facciano clic sul link e inseriscano i dati di accesso richiesti.

Segni da cercare

  • Come sopra, un'email che non ti aspetti, da qualcuno da cui non senti spesso e su un argomento che non è usuale per te, dovrebbe far suonare tutti i campanelli d'allarme.
  • Come dovrebbe un'email da ShareFile quando la tua organizzazione generalmente non utilizza ShareFile.
  • Segnala il messaggio al tuo team di sicurezza e verifica direttamente con il mittente, se appropriato, per confermare se il messaggio è legittimo.
  • Se l'email include un link che ti reindirizza a una pagina di login Microsoft o Google, verifica che sia una pagina di login legittima. Evita di inserire le tue credenziali se sospetti che la pagina possa essere falsa o dannosa.

Il phishing basato su moduli tramite segreteria telefonica è di nuovo in aumento

Istogramma delle minacce

Da febbraio, gli analisti delle minacce di Barracuda hanno osservato un aumento nella rilevazione di attacchi di phishing tramite email basati su messaggi vocali, o vishing, dopo un periodo di declino. Gli attacchi affermano di essere avvisi di messaggi vocali e, quando il destinatario clicca sul link per ascoltare il messaggio, viene indirizzato a un modulo online ospitato su piattaforme legittime, come Monday e Zoho, dove deve inserire le proprie credenziali.

Esempio di phishing basato su messaggi vocali

Gli altri attacchi di vishing recentemente rilevati hanno coinvolto Mamba 2FA e Tycoon 2FA, uno dei quali ha utilizzato la piattaforma di social media professionale LinkedIn come parte del reindirizzamento URL.

Segni da cercare

  • Come sopra, la spia di avvertimento dovrebbe accendersi se il mittente, la natura e il contenuto dichiarato del messaggio sono inaspettati o non richiesti. Verifica sempre la fonte se sembra davvero autentica.
  • Un altro campanello d'allarme è qualsiasi pressione ad agire o rispondere rapidamente o qualsiasi tipo di minaccia velata.

Come Barracuda Email Protection può aiutare la tua organizzazione

Barracuda Email Protection offre una suite completa di funzionalità progettate per difendersi dalle minacce avanzate via email.

Include funzionalità come Email Gateway Defense, che protegge contro phishing e malware, e Impersonation Protection, che salvaguarda dagli attacchi di ingegneria sociale.

Inoltre, fornisce Incident Response e Domain Fraud Protection per mitigare i rischi associati a account compromessi e domini fraudolenti. Il servizio include anche Cloud-to-Cloud Backup e Security Awareness Training per migliorare la postura complessiva di sicurezza delle email.

Barracuda combina l'intelligenza artificiale e l'integrazione profonda con Microsoft 365 per fornire una soluzione completa basata sul cloud che protegge da attacchi di phishing e di impersonificazione potenzialmente devastanti e iper-mirati.

Ulteriori informazioni sono disponibili qui.

Ottieni una sicurezza e-mail completa con l'ausilio dell'IA
Post correlati:
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Ritorno a scuola, ritorno alle truffe
Ritorno a scuola, ritorno alle truffe
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.