L’equip investigador de Red Hot Cyber, incloent l’anònim S.D., el tester de penetració i programador Davide Cavallini, i l’analista de ciberseguretat Davide Santoro, va descobrir que l’enllaç del correu electrònic redirigeix a un lloc web que allotja un document PDF fals, simulat com una comanda protegida per contrasenya. Una anàlisi més detallada va revelar que l’enllaç realitza una redirecció a través de JavaScript, indicant un atac XSS (Cross-Site Scripting) persistent on es du a terme codi perjudicial dins del navegador del visitant.
La investigació del codi JavaScript va mostrar que aquest recull dades de l’usuari a través d’una API cap a un altre lloc WordPress iranià. Aquesta estratègia d’atac no només suposa una amenaça directa pels usuaris que interactuen amb el correu electrònic de phishing, sinó que també destaca vulnerabilitats significatives en els sistemes TI de certes empreses italianes, exposant-les a possibles atacs Man-in-the-Middle (MITM).
“Balada Injector” explota una vulnerabilitat coneguda, CVE-2023-6000, en el plugin de WordPress Popup Builder, realitzant atacs XSS per comprometre llocs web objectiu. Red Hot Cyber recomana diverses mesures preventives per defensar-se d’aquests atacs de phishing, incloent l’educació dels usuaris, l’ús de programari de seguretat, actualitzacions regulars de plugins i biblioteques, i la implementació de polítiques de seguretat estrictes.
La possible implicació de MuddyWater, un APT iranià actiu des de 2017 conegut per l’espionatge cibernètic utilitzant tant eines disponibles gratuïtament com malware desenvolupat específicament, requereix una avaluació acurada i accions immediates per protegir les dades sensibles i mitigar els riscos per a la integritat de les operacions comercials italianes.
Source: Red Hot Cyber
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.