Le email di phishing sono progettate con grande attenzione per somigliare alle notifiche di LinkedIn. Utilizzano un modello di LinkedIn datato, risalente a prima del 2020, probabilmente per risuonare con gli utenti abituati ai design precedenti. Inoltre, i messaggi si spacciano per richieste di preventivo da parte di un direttore commerciale, includendo un’immagine profilo reale per aumentare la credibilità. L’azienda menzionata, “DONGJIN Weidmüller Korea Ind.,” combina nomi di società legittime, ma in realtà non esiste.
Nonostante la sua natura fraudolenta, l’email riesce a eludere i protocolli di sicurezza. Il controllo del Sender Policy Framework (SPF) risulta in un softfail, segnalando un indirizzo IP non autorizzato, mentre l’assenza di una firma DomainKeys Identified Mail (DKIM), che di norma è presente nelle comunicazioni autentiche di LinkedIn, ne evidenzia ulteriormente la falsità. Inoltre, la configurazione errata della politica DMARC consente all’email di bypassare i filtri di Microsoft Defender for Endpoint, arrivando direttamente nelle caselle di posta degli utenti anziché essere bloccata.
L’attacco si concretizza quando i destinatari cliccano sui pulsanti “Leggi di più” o “Rispondi a”, che attivano silenziosamente il download dell’installer del RAT ConnectWise. Invece di spingere direttamente un comando di “download”, la campagna si basa sulla simulazione di una richiesta commerciale legittima, abbassando le difese anche degli utenti più attenti, abituati all’interfaccia di messaggistica di LinkedIn.
Questo attacco evidenzia la crescente sofisticazione delle campagne di phishing e il modo in cui i criminali informatici manipolano la fiducia nei brand noti per aggirare le misure di sicurezza. Se portati a termine con successo, questi attacchi possono concedere agli aggressori accesso remoto ai sistemi sensibili, con conseguenti violazioni di dati, interruzioni operative e perdite finanziarie. Le organizzazioni devono rafforzare i protocolli di autenticazione delle email, formare i dipendenti a riconoscere i tentativi di phishing e adottare misure di sicurezza avanzate per contrastare queste minacce in evoluzione.
Source: eSecurity Planet
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.