EchoSpoofing, campagna di phishing da 3 milioni di email al giorno che ha aggirato le difese di Proofpoint

Con lo sfruttamento di alcune regole troppo permissive, un attore di minaccia è riuscito ad aggirare le misure di sicurezza di Proofpoint inviando milioni di email di phishing facendo leva sull'autorevolezza di brand famosi
di Andrea Bai pubblicata il 31 Luglio 2024, alle 17:41 nel canale SicurezzaProofpoint
Nel gennaio 2024 ha preso il via una vasta operazione di phishing denominata "EchoSpoofing" e resa possibile dallo sfruttamento di alcune vulnerabilità nelle autorizzazioni del servizio di protezione e-mail di Proofpoint, che ora sono state risolte.
Si è trattato di una campagna piuttosto aggressiva, con una media giornaliera di 3 milioni di e-mail contraffatte inviate e che ha visto gli attori di minaccia impersonare grandi realtà come Disney, Nike, IBM e Coca-Cola, prendendo di mira le società Fortune 100. Il picco della campagna si è verificato all'inizio di giugno, quando sono stati diffusi ben 14 milioni di messaggi in un solo giorno.

Il volume di attacchi di EchoSpoofing, come rilevato da Guardio Labs
Come sempre più di frequente avviene in operazioni di ampia portata, le tecniche utilizzate sono risultate essere particolarmente sofisticate. Gli aggressori hanno configurato i propri server SMTP per creare e-mail contraffatte con intestazioni manipolate, per poi inoltrarle attraverso i server relay di Proofpoint sfruttando account Microsoft Office 365 compromessi o non autorizzati.
L'infrastruttura utilizzata per l'attacco comprendeva Virtual Private Server (VPS) ospitati da OVHCloud e Centrilogic. I domini impiegati erano stati registrati tramite Namecheap. Gli aggressori sono riusciti a bypassare i controlli Sender Policy Framework grazie a una configurazione non ottimale: l'opzione per selezionare i servizi e-mail autorizzati all'inoltro includeva una selezione per Office 365 che creava un record SPF troppo permissivo. Questo consentiva a qualsiasi account Office 365/Microsoft 365 di inoltrare e-mail attraverso il servizio sicuro di Proofpoint.
Gli aggressori sono inoltre riusciti a sfruttare in maniera opportuna le firme Domain Keys Idenified Mail così da far sembrare del tutto legittime le email inviate. Dal momento che le email riuscivano a superare indenni sia i controlli SPF, sia i controlli DKIM, riuscivano ad essere consegnate nelle caselle di posta senza essere contrassegnate come spam. Il contenuto delle email era, com'è facilmente immaginabile, progettato appositamente per ingannare il destinatario sfruttando la leva dell'apparente autenticità e autorevolezza del mittente.
🚨Guardio Labs Exposes “EchoSpoofing”: A critical exploit of Proofpoint email protection service.
— Guardio (@GuardioSecurity) July 29, 2024
This phishing campaign sent millions of spoofed emails from brands like @Disney, @IBM, and @Nike, bypassing security protections to steal fundshttps://t.co/U1eSvpmm7w
Guardio Labs ha svolto un ruolo cruciale nella scoperta di questa campagna e nell'identificazione della falla di sicurezza nei server relay e-mail di Proofpoint, sengalando a maggio 2024 quanto individuato. Proofpoint ha dichiarato di aver monitorato la campagna dal mese di marzo, riconoscendo che gli indicatori di compromissione condivisi da Guardio hanno consentito di mitigare gli attacchi con maggior efficacia, fornendo inoltre nuove indicazioni e raccomandazioni per la prevenzione futura.
Proofpoint ha riscontrato, nonostante precedenti indicazioni sulla
corretta implementazione dei controlli anti-spoofing, che numerose realtà
non avevano implementato queste misure permettendo quindi a campagne come
EchoSpoofing di poter avere successo su larga scala. La società ha quindi
contattato i clienti con impostazioni permissive per aiutarli a proteggere
la configurazione dei loro account, introducendo inoltre l'intestazione
"X-OriginatorOrg" per facilitare la verifica della fonte dell'e-mail e il
filtraggio dei messaggi non legittimi.
È stata implementata una nuova schermata di configurazione per Microsoft
365 che consente ai clienti di impostare autorizzazioni più restrittive
per specificare quali tenant di Microsoft 365 possono inoltrare e-mail
attraverso i server di Proofpoint. Alcuni dei tenant che sono stati
sfruttati per la campagna risultano, al momento della pubblicazione
delle informazioni da parte di Proofpoint, ancora attivi.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNel mio piccolo e parlando con molte persone, si puo' dire che di campagne ne stiamo ricevendo continuamente, add o accesso Whatsup (fix con doppio login), emails infinite, messagi sul cell con i codici op o strani o link strani ecc.. oramai gli sms e similari sono da ignorare a prescindere, ecc..
E' il farwest, ritengo che per Android come minimo, oltre ad antivirus (ed immenso buon senso di non cliccare sempre e chiedere info prima sul link ricevuto) sia avere il firewall, anche il noroot funziona egregiamente, si ok ci vuole un po' di impegno all'inzio..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".