Il rapporto del Red Team: le organizzazioni sono pronte per gli attacchi email potenziati dall'IA?

La simulazione di attacco del Red Team ha presentato phishing potenziato dall'IA, la truffa ClickFix e il bypass MFA.

Punti chiave

• Una simulazione di attacco utilizzando strumenti ampiamente disponibili mostra che può bastare appena cinque minuti affinché un attacco di phishing guidato dall'IA si trasformi in una compromissione dell'endpoint e nella persistenza dell'attaccante, eludendo i tradizionali controlli di sicurezza.
• La simulazione d'attacco ha concatenato un'email di phishing, una truffa ClickFix e un bypass dell'autenticazione multifattoriale (MFA).
• I risultati sottolineano l'urgente necessità di una sicurezza continua, in tempo reale e automatizzata durante l'intero ciclo di vita dell'attacco.

Il Red Team di Barracuda Managed XDR esegue simulazioni interne di minacce reali, fornendo ai team di sicurezza e ai ricercatori una visione di come si sviluppano gli attacchi. Il Red Team Report fa parte di Barracuda Research, il braccio di intelligence sulle minacce di Barracuda.

I componenti della catena di attacco

La simulazione di attacco del Red Team si è concentrata sulle seguenti minacce:

Phishing potenziato dall'IA: Gli attaccanti stanno utilizzando modelli di linguaggio di grandi dimensioni (LLM) per creare messaggi altamente convincenti e personalizzati su larga scala, senza gli errori di ortografia o i segnali di allarme evidenti che gli utenti erano stati addestrati a riconoscere. Ciò che una volta richiedeva attori di minacce esperti ora può essere fatto da chiunque in pochi minuti.

ClickFix: Le truffe ClickFix fanno parte di un toolkit di attacco in rapida evoluzione. Ingannano gli utenti facendogli eseguire comandi dannosi presentando falsi messaggi di errore o istruzioni di "riparazione" che sembrano legittime. Invece di fare affidamento su download o metodi tradizionali di distribuzione di malware, gli attaccanti manipolano gli obiettivi.  

La cassetta degli attrezzi degli attaccanti moderni include anche altre tattiche simili, come portali di login falsi, phishing tramite codici QR o permessi di app dannosi, utilizzando l'IA per aumentare velocità e volume e massimizzare la probabilità che gli utenti si conformino.

Aggiramento MFA: Molti aggressori, inclusa la maggior parte dei kit di phishing, utilizzano tecniche di attacco nel mezzo (AitM) per eludere le difese di autenticazione come l'autenticazione a più fattori (MFA). In parole povere, si inseriscono tra la vittima e l'applicazione software e intercettano il processo di accesso in tempo reale per catturare le credenziali e i token di sessione. 

Illustrazione dei cinque minuti trascorsi dal primo clic di phishing al compromesso completo e alla persistenza

L'anatomia di un attacco email moderno e multi-fase

Fase 1: L'email di phishing

Nel nostro scenario simulato, abbiamo utilizzato un LLM ampiamente disponibile per creare un'email dall'aspetto realistico con una notifica di documento di SharePoint.

Il nostro prompt AI era semplice: Imitare una notifica di Microsoft SharePoint che informa il destinatario che un collega ha condiviso un documento di conformità che richiede una revisione immediata.

Il flusso iniziale dell'attacco email. Immagine generata dall'AI a scopo illustrativo.

L'LLM ha prodotto un'email strutturalmente indistinguibile da una legittima notifica di SharePoint: formattazione corretta, tono appropriato, metadati realistici e un contesto aziendale plausibile. L'intero processo ha richiesto solo pochi minuti.

L'email di phishing generata dall'IA

Diversi elementi rendono questa email efficace, e nessuno di essi si basa sulla negligenza della vittima. Includono l'uso di termini con autorità e urgenza, come “violazione” e avvertimenti di sospensione dell'account. Questo spinge il bersaglio ad agire piuttosto che esaminare attentamente il messaggio.

La presentazione è perfetta: immagini incorporate in linea, lo schema cromatico esatto di Microsoft (#0078d4), la tipografia Segoe UI e un piè di pagina pixel-perfect sulla privacy corrispondono tutti alle email autentiche di Microsoft.

Il pulsante "Verifica identità" punta al dominio proxy di intercettazione degli attacchi (AitM) degli aggressori. A prima vista, l'URL sembra legittimo, anche se un utente attento potrebbe notare l'anomalia. Tuttavia, è nascosto dietro un pulsante che la maggior parte degli utenti cliccherà senza ispezionare.

Fase 2: Furto delle credenziali e della sessione

L'email di phishing arriva nella casella di posta dell'utente alle 21:14 UTC.

Il nostro obiettivo clicca sul link 21 minuti dopo, alle 21:35 UTC. Viene presentata una pagina di accesso che sembra quella reale di Microsoft perché, funzionalmente, lo è. Tuttavia, la pagina è controllata dal framework di phishing AiTM Evilginx. Evilginx si trova nel mezzo catturando tutto ciò che l'utente inserisce.

Entro 60 secondi l'utente ha inserito le proprie credenziali, alle 21:36 UTC.

La pagina di accesso per un attacco di tipo adversary-in-the-middle

Evilginx inoltra quelle credenziali a login.microsoftonline.com e attende la risposta di Microsoft. Sia per Microsoft che per l'utente, questo sembra essere un normale tentativo di accesso.

Ormai le credenziali della vittima sono state compromesse, ma questo non è il vero obiettivo per gli attaccanti.

Alle 21:37 UTC l'utente riceve una risposta da Microsoft che richiede l'MFA.

La richiesta MFA di Microsoft viene intercettata da Evilginx, che la inoltra alla vittima. L'utente apre la propria app Authenticator e completa l'MFA come probabilmente fa più volte ogni giorno.

Microsoft autentica l'utente e restituisce un cookie di sessione. Con Evilginx nel mezzo, il cookie di sessione va prima agli aggressori, poi viene inoltrato.

Entro due minuti dal clic del link di phishing da parte della vittima, alle 21:37 UTC, Evilginx ha catturato il loro nome utente e password, il cookie e i dettagli della sessione.

Email, password e cookie di sessione rubati da Evilginx

Nei panni degli aggressori, apriamo il nostro browser, incolliamo il cookie di sessione rubato e navighiamo su outlook.office.com. Microsoft vede una sessione valida e autenticata e fornisce la casella di posta. Dal punto di vista di Microsoft, questo è semplicemente l'utente che continua la sua sessione.

Gli aggressori hanno pieno accesso all'account compromesso.

Siamo ora all'interno dell'account. Come aggressori, possiamo leggere le email, inviare email come l'utente, accedere a SharePoint e OneDrive, creare regole della posta in arrivo per nascondere la nostra attività (vedi sotto) e consentire app OAuth dannose per persistere anche dopo la scadenza della sessione.

Fase 3: Esecuzione ClickFix

Nella nostra simulazione, abbiamo aggiunto un ulteriore livello all'attacco AiTM. Alla vittima viene chiesto di eseguire ulteriori passaggi di verifica prima che venga concesso l'accesso.

Alle 21:38 UTC, appare una nuova finestra:

Un tipico prompt ClickFix che si maschera come una "soluzione rapida" per verificare l'identità della vittima prima dell'accesso.

Nel giro di un minuto, alle 21:39, la vittima ha cliccato sul pulsante “Copia codice di verifica”, facendo sì che il comando da noi creato venga incollato nel loro clipboard.

Seguono i due passaggi successivi del prompt, senza rendersi conto di aver attivato una richiesta web per scaricare ed eseguire uno script PowerShell ospitato su un'altra macchina.

Sotto il cofano, questa tecnica utilizza un metodo chiamato "hijacking degli appunti". Questo elimina la necessità di persuadere la vittima a "copiare" manualmente il comando e aiuta a mantenerlo nascosto.

Nelle varianti più aggressive, il codice viene copiato negli appunti della vittima quando visitano la pagina senza alcuna interazione necessaria. Tutto questo viene fatto con poche righe di JavaScript, come si vede di seguito:

JavaScript utilizzato per copiare il testo al movimento del mouse — nessuna altra interazione dell'utente richiesta

Una volta che il payload è stato copiato negli appunti, i passaggi successivi si basano su scorciatoie da tastiera di Windows ben note. Queste includono:

• "Win+R," che apre uno strumento utilizzato per accedere rapidamente ad applicazioni o posizioni specifiche all'interno di Windows. Questo strumento sarà familiare agli amministratori di sistema, ma non agli utenti non tecnici.
• "Win + V," una scorciatoia frequentemente utilizzata per incollare contenuti negli Appunti. L'utente preme semplicemente "Enter" una volta che il contenuto è stato incollato nella casella aperta. Questo avvia un comando PowerShell o un prompt dei comandi che si collega a PowerShell.

Una ripartizione tecnica di un payload ClickFix osservato in natura

Note per i team tecnici sulle caratteristiche che si trovano spesso in questi comandi:

• Ignora i messaggi di avviso di esecuzione dello script o eventuali prompt di conferma. Cerca: -ep bypass, -ExecutionPolicy Bypass, -ex b
• Comandi offuscati, inclusi Backticks (per PowerShell) e virgolette (per CMD). Sono generalmente ignorati dal terminale. È stata osservata anche la concatenazione.
• Esecuzione concatenata, tipicamente coinvolgendo CMD in PowerShell.
• Flag per garantire che le finestre siano nascoste all'avvio. Ad esempio, "-WindowStyle Hidden" in PowerShell, che può essere abbreviato fino a "-w h" o "headless" nel prompt dei comandi.
• Richieste web, inclusi ma non limitati a PowerShell “Invoke-Webrequest”, “iwr”, “DownloadString”, “Start-BitsTransfer”.
• Chiamata a un sito web esterno. Questi appaiono sia come indirizzi IP codificati che come domini di nuova registrazione utilizzati come server di comando e controllo o server di staging che ospitano malware.

Fase 4: Stabilire la persistenza

Una volta eseguito con successo il comando, l'attività può procedere in modi diversi a seconda degli aggressori e dei loro obiettivi.

Il nostro team ha creato uno script rapido e semplice che stabilisce la persistenza tramite le Sottoscrizioni di Eventi WMI. Questo inizia alle 21:40 UTC — cinque minuti dopo che la vittima ha aperto l'email di phishing. Esegue come segue: un (a scopo di simulazione, innocuo) programma è impostato su un intervallo di 60 secondi per creare e aggiungere a un documento txt. In un incidente reale, questo script probabilmente conterrebbe un meccanismo di consegna che recupera il payload, consentendogli di eludere il rilevamento basato su disco.

Metodi popolari di persistenza includono:

• Attività pianificate: Il payload crea un'attività pianificata che si riesegue al login dell'utente o a intervalli impostati con privilegi elevati, spesso sfruttando LOLBins (utilità Windows legittime come powershell.exe, mshta.exe, rundll32.exe o cmd.exe) per eludere la rilevazione. Queste attività persistono attraverso i riavvii del sistema.
• Chiavi di esecuzione del registro: Il payload aggiunge un valore di registro sotto HKCU\Software\Microsoft\Windows\CurrentVersion\Run (o RunOnce per un'esecuzione singola). Al login dell'utente, Windows esegue automaticamente qualsiasi cosa sia riferita in queste chiavi.
• Sottoscrizioni agli eventi WMI: Utilizzando PowerShell, gli aggressori creano un nuovo task usando il cmdlet “Set-WmiInstance”, definendo quando il task viene attivato e quale sia il task. Questo è un metodo più elusivo per pianificare lavori rispetto ai Task Pianificati, poiché sono più difficili da visualizzare, non generano altrettanti log e spesso vengono inizialmente trascurati dagli strumenti di risposta agli incidenti.

Fase 5: L'attacco si sviluppa — escalation dei privilegi, esfiltrazione dei dati, crittografia e altro ancora

Una volta che gli aggressori hanno un mezzo affidabile per accedere alla rete, cercheranno di ottenere un accesso privilegiato all'ambiente. Se hanno successo, possono far progredire il loro attacco per includere esfiltrazione di dati, distruzione o crittografia, e altro ancora — tutto reso possibile dal successo dell'email di phishing di accesso iniziale.

Passi pratici per rimanere al sicuro

Per ridurre l'esposizione al rischio e mitigare l'impatto di un attacco, si consiglia alle organizzazioni di implementare quanto segue:

• Autenticazione a più fattori resistente al phishing (come le chiavi di sicurezza). Le chiavi hardware funzionano solo su siti web legittimi, quindi gli aggressori non possono ingannare gli utenti facendoli accedere tramite pagine false e poi rubare le loro sessioni. Tali chiavi includono le YubiKeys, che offrono agli utenti protezione contro i siti proxy. Le YubiKeys utilizzano FIDO2/WebAuthn, un protocollo che lega l'autenticazione al dominio specifico che l'utente sta visitando.
• Bloccare l'autenticazione delle email (attraverso gli standard di settore DMARC, SPF e DKIM). Domain-based Message Authentication, Reporting & Conformance (DMARC) è il livello di policy generale per gli strumenti che verificano se l'IP di un mittente è autorizzato a inviare per conto di un dominio e verificano che il messaggio non sia stato manomesso durante il transito. Un DMARC configurato correttamente aiuta a bloccare le email falsificate prima che raggiungano gli utenti.
• Addestrare gli utenti a fermarsi e verificare richieste insolite. Soprattutto qualsiasi cosa che chieda loro di incollare comandi, "correggere" errori o accedere urgentemente.
• Non fare affidamento sugli utenti per individuare email sospette. Il phishing generato dall'IA sembra realistico e privo di errori, quindi gli strumenti di sicurezza devono fare di più per individuare queste minacce.
• Monitora le sessioni di accesso sospette e i comportamenti anomali. Gli attacchi AiTM utilizzano token di sessione rubati, quindi cerca accessi da posizioni o dispositivi insoliti o in orari irregolari per quell'utente.
• Blocca o limita i comportamenti di sistema rischiosi. Limita l'accesso a strumenti come PowerShell, accesso agli appunti e comandi "Esegui" ovunque possibile per ridurre gli attacchi in stile ClickFix.
• Fai attenzione ai trucchi di persistenza dopo la compromissione. Gli aggressori spesso aggiungono regole di posta in arrivo, attività pianificate o script in background per rimanere nascosti dopo il login.
• Utilizzare una sicurezza a strati continua, automatizzata e intelligente. Nessun controllo singolo ferma catene di attacchi email avanzati ed evasivi — è necessaria visibilità e capacità di mitigazione in ogni fase del ciclo di vita dell'attacco.

In che modo Barracuda può essere di aiuto

Barracuda aiuta le organizzazioni a difendersi dagli attacchi avanzati via email combinando protezione e resilienza informatica tra email, applicazioni, dati e reti. Per ulteriori informazioni e approfondimenti sui prodotti, vedere BarracudaONE, Barracuda Integrated Email Protection e Barracuda Managed XDR. Barracuda Managed XDR offre anche Automated Threat Response (ATR) per email, accelerando il contenimento in tempo reale delle minacce a livello di casella di posta.

Indicatori di compromissione

Indicatori di Compromissione dell'Endpoint

Tutti i seguenti possono essere rilevati tramite i log 4688 (assicurati che l'auditing della riga di comando sia abilitato) o tramite la maggior parte delle soluzioni endpoint.

• Flag delle finestre nascoste: -w hidden, -w h, headless
• Linee di comando offuscate: Backtick, concatenazione e codifica base64
• Chiamata a pagine web esterne, spesso di nuova registrazione, accompagnata da comandi di trasferimento dati: curl -O https://example.com e DownloadString, iwr, WebClient
• Sottoscrizioni WMI: wmiprvse.exe genera cmd o Powershell a intervalli regolari
• Albero di processi sospetto: Explorer.exe che genera cmd.exe o powershell.exe, chiaro indicatore che il comando è stato eseguito tramite la finestra di dialogo Esegui. I comandi nidificati sono comuni: Explorer.exe à cmd.exe à powershell.exe

Indicatori di compromissione email

• Provider di hosting blindati: I VPN sono comunemente associati ad attività sospette, ma sono anche ampiamente utilizzati in ambienti aziendali legittimi in tutto il mondo, il che li rende un indicatore rumoroso di per sé. Una tendenza più significativa che Barracuda Managed XDR sta monitorando è l'aumento dei provider di hosting blindati. Questi sono ampiamente utilizzati per attività dannose, e la lista probabilmente includerà DigitalOcean, PacketHub S.A., Clouvider Limited, ReliableSite LLC, DataCamp Limited, e altri.
• Regole della posta in arrivo: Una delle azioni post-sfruttamento più comuni osservate nel nostro SOC è la creazione di regole della posta in arrivo dannose. Queste sono progettate per filtrare, nascondere o reindirizzare silenziosamente messaggi specifici affinché la vittima rimanga inconsapevole che il proprio account è stato compromesso.
  • Regole di filtraggio basate su parole chiave per spostare automaticamente, contrassegnare come letto o eliminare qualsiasi messaggio in arrivo contenente termini relativi all'attacco come hackerato, sospetto, frode, non autorizzato, pagamento, fattura, ecc.
  • Regole di inoltro automatico che inviano silenziosamente copie di messaggi che corrispondono a parole chiave finanziarie a un indirizzo esterno controllato da un aggressore.
  • Le regole di spostamento nella cartella che spostano i messaggi sensibili in cartelle raramente controllate come feed RSS, Cronologia conversazioni e Archivio.

Poiché queste regole operano silenziosamente e persistono anche dopo i reset della password (a meno che non vengano esplicitamente rimosse), rilevare e correggere le regole della casella di posta dannose è un passaggio critico in qualsiasi indagine su una compromissione della posta elettronica.