EchoSpoofing, campagna di phishing da 3 milioni di email al giorno che ha aggirato le difese di Proofpoint

EchoSpoofing, campagna di phishing da 3 milioni di email al giorno che ha aggirato le difese di Proofpoint

Con lo sfruttamento di alcune regole troppo permissive, un attore di minaccia è riuscito ad aggirare le misure di sicurezza di Proofpoint inviando milioni di email di phishing facendo leva sull'autorevolezza di brand famosi

di pubblicata il , alle 17:41 nel canale Sicurezza
Proofpoint
 

Nel gennaio 2024 ha preso il via una vasta operazione di phishing denominata "EchoSpoofing" e resa possibile dallo sfruttamento di alcune vulnerabilità nelle autorizzazioni del servizio di protezione e-mail di Proofpoint, che ora sono state risolte.

Si è trattato di una campagna piuttosto aggressiva, con una media giornaliera di 3 milioni di e-mail contraffatte inviate e che ha visto gli attori di minaccia impersonare grandi realtà come Disney, Nike, IBM e Coca-Cola, prendendo di mira le società Fortune 100. Il picco della campagna si è verificato all'inizio di giugno, quando sono stati diffusi ben 14 milioni di messaggi in un solo giorno.


Il volume di attacchi di EchoSpoofing, come rilevato da Guardio Labs

Come sempre più di frequente avviene in operazioni di ampia portata, le tecniche utilizzate sono risultate essere particolarmente sofisticate. Gli aggressori hanno configurato i propri server SMTP per creare e-mail contraffatte con intestazioni manipolate, per poi inoltrarle attraverso i server relay di Proofpoint sfruttando account Microsoft Office 365 compromessi o non autorizzati.

L'infrastruttura utilizzata per l'attacco comprendeva Virtual Private Server (VPS) ospitati da OVHCloud e Centrilogic. I domini impiegati erano stati registrati tramite Namecheap. Gli aggressori sono riusciti a bypassare i controlli Sender Policy Framework grazie a una configurazione non ottimale: l'opzione per selezionare i servizi e-mail autorizzati all'inoltro includeva una selezione per Office 365 che creava un record SPF troppo permissivo. Questo consentiva a qualsiasi account Office 365/Microsoft 365 di inoltrare e-mail attraverso il servizio sicuro di Proofpoint.

Gli aggressori sono inoltre riusciti a sfruttare in maniera opportuna le firme Domain Keys Idenified Mail così da far sembrare del tutto legittime le email inviate. Dal momento che le email riuscivano a superare indenni sia i controlli SPF, sia i controlli DKIM, riuscivano ad essere consegnate nelle caselle di posta senza essere contrassegnate come spam. Il contenuto delle email era, com'è facilmente immaginabile, progettato appositamente per ingannare il destinatario sfruttando la leva dell'apparente autenticità e autorevolezza del mittente. 

Guardio Labs ha svolto un ruolo cruciale nella scoperta di questa campagna e nell'identificazione della falla di sicurezza nei server relay e-mail di Proofpoint, sengalando a maggio 2024 quanto individuato. Proofpoint ha dichiarato di aver monitorato la campagna dal mese di marzo, riconoscendo che gli indicatori di compromissione condivisi da Guardio hanno consentito di mitigare gli attacchi con maggior efficacia, fornendo inoltre nuove indicazioni e raccomandazioni per la prevenzione futura. 

Proofpoint ha riscontrato, nonostante precedenti indicazioni sulla corretta implementazione dei controlli anti-spoofing, che numerose realtà non avevano implementato queste misure permettendo quindi a campagne come EchoSpoofing di poter avere successo su larga scala. La società ha quindi contattato i clienti con impostazioni permissive per aiutarli a proteggere la configurazione dei loro account, introducendo inoltre l'intestazione "X-OriginatorOrg" per facilitare la verifica della fonte dell'e-mail e il filtraggio dei messaggi non legittimi.

È stata implementata una nuova schermata di configurazione per Microsoft 365 che consente ai clienti di impostare autorizzazioni più restrittive per specificare quali tenant di Microsoft 365 possono inoltrare e-mail attraverso i server di Proofpoint. Alcuni dei tenant che sono stati sfruttati per la campagna risultano, al momento della pubblicazione delle informazioni da parte di Proofpoint, ancora attivi. 

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD01 Agosto 2024, 09:28 #1
Grazie mille per le info, articolo interessante.
Nel mio piccolo e parlando con molte persone, si puo' dire che di campagne ne stiamo ricevendo continuamente, add o accesso Whatsup (fix con doppio login), emails infinite, messagi sul cell con i codici op o strani o link strani ecc.. oramai gli sms e similari sono da ignorare a prescindere, ecc..
E' il farwest, ritengo che per Android come minimo, oltre ad antivirus (ed immenso buon senso di non cliccare sempre e chiedere info prima sul link ricevuto) sia avere il firewall, anche il noroot funziona egregiamente, si ok ci vuole un po' di impegno all'inzio..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^