Phishing sui motori di ricerca, l’esca è un PDF dannoso usato per rubare dati finanziari

Negli ultimi anni, le campagne di phishing sono diventate sempre più sofisticate, sfruttando piattaforme legittime per ingannare gli utenti e aggirare i sistemi di sicurezza.

Un recente attacco individuato da Netskope Threat Labs mostra come i cyber criminali stiano abusando della piattaforma Webflow, tecniche di ottimizzazione per i motori di ricerca (SEO) avanzate e falsi CAPTCHA per compromettere le credenziali e i dati sensibili delle vittime.

Questa strategia innovativa rende il phishing più credibile e difficile da rilevare, aumentando il rischio per aziende e singoli utenti. Infatti, la campagna in oggetto, attiva dalla metà del 2024, avrebbe preso di mira centinaia di organizzazioni in settori come tecnologia, manifatturiero e bancario, con vittime principalmente in Nord America, Asia ed Europa meridionale.

Tecniche di evasione

Gli aggressori sfruttano servizi legittimi come la CDN (Content Delivery Network) di Webflow per ospitare i PDF dannosi, rendendo più difficile l’individuazione delle attività malevole.

L’inclusione di link di phishing all’interno di immagini di CAPTCHA e l’uso di veri CAPTCHA di Cloudflare Turnstile contribuiscono ulteriormente a eludere i tradizionali scanner di sicurezza e aumentano la credibilità dell’attacco agli occhi delle vittime.

“Mentre Webflow offre storage CDN per le risorse dei clienti, questo servizio viene utilizzato in modo improprio per archiviare file PDF dannosi. Questi PDF compaiono nei risultati dei motori di ricerca quando le vittime cercano parole chiave mirate, come titoli di libri, documenti e grafici”, spiega l’esperto Gen Michael Alcantara nel suo rapporto, specificando come “Questa volta, gli aggressori utilizzano CAPTCHA per il phishing incorporando l’URL di phishing in un’immagine CAPTCHA all’interno del file PDF dannoso, reindirizzando gli utenti alle pagine di phishing quando tentano di risolvere la sfida”.

Meccanismo di attacco

Gli attori malevoli utilizzano tecniche SEO per posizionare file PDF dannosi tra i primi risultati dei motori di ricerca. Questi PDF, ospitati come detto sulla CDN di Webflow, contengono immagini di falsi CAPTCHA che, una volta cliccate, reindirizzano gli utenti a siti di phishing.

In particolare, dopo l’interazione con il falso CAPTCHA, le vittime vengono indirizzate a una vera pagina CAPTCHA di Cloudflare Turnstile, aumentando così la percezione di legittimità del processo.

Le fasi dell’attacco possono così essere riassunte:

1. Ricerca e download: L’utente cerca online documenti, grafici o titoli di libri e trova nei risultati un PDF contenente le parole chiave della sua ricerca.

Fonte: Netskope Threat Labs.

2. Interazione con il PDF: Aprendo il PDF, l’utente visualizza un’immagine di un falso CAPTCHA.

Fonte: Netskope Threat Labs.

• Reindirizzamento tramite CAPTCHA: Cliccando sull’immagine del CAPTCHA, l’utente viene prima reindirizzato verso una vera pagina CAPTCHA di Cloudflare Turnstile e dopo verso un forum che offre un file correlato alla ricerca iniziale.

Fonte: Netskope Threat Labs.

• Raccolta di informazioni personali: Per scaricare il file, all’utente viene richiesto di registrarsi fornendo dati personali come e-mail e nome completo. Successivamente, viene chiesto di inserire i dettagli della carta di credito per completare la procedura. Anche dopo aver fornito queste informazioni, un messaggio di errore indica che la carta non è stata accettata, inducendo l’utente a ripetere l’inserimento dei dati. Alla fine, l’utente viene reindirizzato a una pagina di errore HTTP 500.

Fonte Netskope Threat Labs.

Raccomandazioni per difendersi

Questa campagna evidenzia l’evoluzione delle tecniche di phishing, con cyber criminali che sfruttano piattaforme e servizi legittimi per ingannare gli utenti e sottrarre informazioni sensibili.

È fondamentale che individui e organizzazioni rimangano vigili e adottino misure proattive per proteggersi da queste minacce in continua crescita.

Per difendersi è consigliabile per le organizzazioni oltre a implementare soluzioni di protezione in grado di rilevare anche modelli di phishing che sfruttano servizi legittimi per le attività fraudolente, educare gli utenti a riconoscere tecniche di phishing e a diffidare di richieste inaspettate di informazioni personali o finanziarie.

Risulta essenziale controllare attentamente l’URL e la legittimità dei siti web prima di inserire informazioni sensibili, prestando attenzione a eventuali anomalie come errori di ortografia e formattazione insolita dei messaggi.