- cross-posted to:
- [email protected]
- [email protected]
- cross-posted to:
- [email protected]
- [email protected]
Una nuova tattica di phishing che utilizza le pagine mobili accelerate (AMP) di Google ha colpito il panorama delle minacce e si è dimostrata molto efficace nel raggiungere gli obiettivi prefissati. Google AMP è un framework HTML open-source utilizzato per creare siti web ottimizzati per l’uso su browser e su dispositivi mobili. I siti web osservati in queste campagne sono ospitati su Google.com o Google.co.uk, entrambi domini considerati affidabili dalla maggior parte degli utenti. Questa campagna di phishing non solo utilizza gli URL AMP di Google per eludere la sicurezza, ma incorpora anche una moltitudine di altre tattiche, tecniche e procedure (TTP) note per il loro successo nell’aggirare l’infrastruttura di sicurezza delle e-mail.
Punti chiave:
- Una nuova tattica utilizzata dagli attori delle minacce utilizza gli URL di Google AMP come link incorporati nelle e-mail di phishing. Questi link sono ospitati su domini affidabili e si sono dimostrati efficaci nel raggiungere dipendenti di livello aziendale.
- Gli URL Google AMP utilizzati nel phishing sono emersi di recente, nel maggio del 2023, e hanno continuato a essere diffusi dal momento in cui scriviamo, prendendo di mira le credenziali di accesso dei dipendenti.
- Le campagne che utilizzano questa tattica si sono dimostrate molto evasive e stanno impiegando altre TTP note per aggirare l’infrastruttura di sicurezza delle e-mail. Cofense ha osservato che le seguenti tattiche sono incorporate nelle campagne che utilizzano gli URL di Google AMP:
- I domini affidabili sono spesso utilizzati in ogni fase delle campagne di phishing, non solo nel dominio iniziale di Google.
- Il reindirizzamento dell’URL come parte dell’URL di Google AMP e un’ulteriore fase sono stati osservati in diverse campagne che utilizzano la tattica di Google AMP. Questo aggiunge un ulteriore livello di disturbo all’analisi.
- Sono state utilizzate e-mail di phishing basate su immagini. Ciò consente all’attore della minaccia di interrompere l’analisi sostituendo un normale corpo di testo con un’immagine HTML codificata che contiene il link malevolo incorporato, cliccabile dal destinatario.
- I CAPTCHA di Cloudflare sono stati una tattica comunemente abusata nelle campagne di phishing, quindi non sorprende che siano comparsi qui. I servizi CAPTCHA interrompono l’analisi automatizzata e richiedono che ogni campagna di phishing venga analizzata manualmente.
Un altro motivo per tenere in abominio AMP, oltre a quelli che giá ispirarono la creazione di AmputatorBot su Reddit