CERT-PA: submission 5806509 e blocco via X Files

Gioxx  —  06/02/2019 — Leave a comment

Non è una “novità dell’ultima ora” e per questo ti chiedo scusa, ma credo che l’importante sia l’intervento e non “la pubblicità“, ora capirai certamente a cosa faccio riferimento. Lo scorso 21 gennaio il CERT-PA ha pubblicato un comunicato riguardante un nuovo tipo di attacco phishing che sfrutta pagine web ospitate su Cloud Microsoft, le quali cercano di carpire tue informazioni personali per ottenere accesso non autorizzato a risorse che non dovrebbero poter essere viste da occhi diversi dai tuoi. Se ne parla in maniera più approfondita qui: cert-pa.it/notizie/pagine-di-phishing-ospitate-su-cloud-microsoft

Sicurezza e Phishing (Password, Privacy, Web)

Il CERT-PA è recentemente venuto a conoscenza di un servizio di phishing che sfrutta il cloud di Microsoft per ospitare finte pagine di login.

Dalle analisi svolte dal CERT-PA, si ha evidenza che tale servizio è offerto da Spam-egy, con tanto di pagina Facebook e video promozionale, al momento al costo di 300USD ed ha come bersaglio le utenze Microsoft. La prima evidenza pubblica in Italia risulta datata 4 gennaio 2019 via twitter, mentre da Phishtank emerge una evidenza risalente al 5 ottobre 2018.

La sostanza dell’attacco risiede nel fatto che la pagina che si occupa di rubare le credenziali (comunque digitate dall’utente finale, evidentemente ignaro dell’attacco) si trova sullo spazio Cloud di proprietà Microsoft (Azure). A oggi questa pagina non è più raggiungibile (https://up2.blob.core.windows.net/a520s5ecfe5dced56/update2.html) e già dal giorno uno di divulgazione del problema ho provveduto a inserire un nuovo filtro all’interno di X Files, così da evitare che possa essere caricato / incluso qualsivoglia file proveniente da s4egy.com, sito web che si occupa di fornire gli strumenti utili per portare a termine l’attacco, tra cui alcuni file javascript come quello mostrato nello screenshot di seguito:

CERT-PA: submission 5806509 e blocco via X Files

I dettagli sulla commit sono disponibili su github.com/gioxx/xfiles/commit/60fd3259d0f16aeda0a68312be334321cee67143, tu non devi fare altro che verificare che la tua sottoscrizione a X Files sia aggiornata. Ti ricordo che chiunque può effettuare nuove segnalazioni per richiedere verifiche su un particolare sito web / comportamento anomalo della lista, il tutto passando dagli strumenti a tua disposizione: aprire una Issue su GitHub (metodo preferito), aprire un ticket tramite UserVoice o utilizzare il modulo feedback su NoAds.

Buon lavoro.

Condividi l'articolo con i tuoi contatti: