Nel panorama in continua evoluzione delle minacce informatiche, i truffatori perfezionano continuamente le loro tecniche per aggirare le misure di sicurezza tradizionali: l’ultima rivelazione dei ricercatori di sicurezza informatica di Abnormal Security svela una svolta sofisticata nel famigerato attacco BazarCall.

Callback phishing, la minaccia che torna con una nuova campagna

BazarCall, noto anche come Callback phishing, è da tempo una minaccia, che in genere inizia con un’e-mail di phishing mascherata da notifica di pagamento o conferma di abbonamento di marchi noti. L’e-mail ingannevole invita i destinatari a chiamare urgentemente un numero di telefono fornito, presumibilmente per contestare addebiti o annullare un servizio. Tuttavia, il vero obiettivo è molto più sinistro: indurre le vittime a installare malware durante la telefonata, esponendo così le organizzazioni a potenziali minacce informatiche.

Ciò che distingue questa nuova variante di BazarCall è la sua integrazione di Google Forms per amplificare l’inganno. In un processo inquietantemente raffinato, gli aggressori creano un modulo Google, completo di dettagli su una transazione fittizia, incluso un numero di fattura e informazioni di pagamento.

La svolta ingegnosa sta nell’attivare l’opzione di ricezione della risposta, inviando una copia apparentemente autentica del modulo compilato direttamente all’indirizzo email del bersaglio.

Mike Britton, Chief Information Security Officer presso Abnormal Security, fa luce sulla manipolazione di questo processo da parte dell’aggressore. L’aggressore invia a se stesso il modulo di invito, lo compila utilizzando l’indirizzo e-mail della vittima e lo presenta come conferma di pagamento per un prodotto o servizio. Sfruttare i moduli Google inviati da un indirizzo Google legittimo aggiunge un ulteriore livello di legittimità all’attacco, rendendolo notevolmente più difficile da rilevare.

Come mitigare il rischio

La vera sfida posta da questa variante di BazarCall risiede nella sua evasione dai tradizionali strumenti di sicurezza della posta elettronica. A differenza delle minacce tipiche che si basano su collegamenti o allegati dannosi, questo attacco sfrutta astutamente Google Forms, un servizio affidabile ampiamente utilizzato per sondaggi e quiz.

La natura dinamica degli URL di Google Forms, che cambiano frequentemente ed eludono l’analisi statica, rappresenta una sfida formidabile per il rilevamento basato sulla firma utilizzato da molti strumenti di sicurezza.

Gli strumenti di sicurezza della posta elettronica legacy, inclusi i gateway di posta elettronica sicuri (SEG), si trovano in difficoltà nel discernere l’intento dannoso dietro queste e-mail, consentendo potenzialmente alle minacce di passare inosservate.

Mike Britton sottolinea la necessità di moderne soluzioni di sicurezza e-mail native per l’intelligenza artificiale, dotate di intelligenza artificiale comportamentale e analisi dei contenuti per identificare e contrastare con precisione tali attacchi riconoscendo l’impersonificazione del marchio e i tentativi di phishing.

Mentre ci muoviamo nel panorama delle minacce in continua evoluzione, rimanere informati sui metodi di attacco sofisticati come questa variante di BazarCall diventa cruciale. L’adozione di soluzioni avanzate di sicurezza della posta elettronica che sfruttano l’intelligenza artificiale è fondamentale per proteggere efficacemente le organizzazioni e gli individui dalle tattiche in continua evoluzione impiegate dai criminali informatici.

Gli attacchi BazarCall, noti per le loro e-mail di phishing che si spacciano per notifiche di pagamento, hanno preso una svolta più sofisticata con l’integrazione di Google Forms.

L’uso di questo servizio legittimo, unito alla natura dinamica degli URL di Google Forms, sfida gli strumenti di sicurezza tradizionali, rendendo imperativo adottare soluzioni native di intelligenza artificiale per un’efficace protezione informatica nell’era digitale di oggi.

@RIPRODUZIONE RISERVATA