Pagine di phishing ospitate su cloud Microsoft

21/01/2019

azure Microsoft phishing spam-egy

Il CERT-PA è recentemente venuto a conoscenza di un servizio di phishing che sfrutta il cloud di Microsoft per ospitare finte pagine di login.

Dalle analisi svolte dal CERT-PA, si ha evidenza che tale servizio è offerto da Spam-egy, con tanto di pagina Facebook e video promozionale, al momento al costo di 300USD ed ha come bersaglio le utenze Microsoft. La prima evidenza pubblica in Italia risulta datata 4 gennaio 2019 via twitter, mentre da Phishtank emerge una evidenza risalente al 5 ottobre 2018.

Analisi dell’e-mail

Le vittime ricevono una mail in cui sono invitate a dare l’autorizzazione ad effettuare un’operazione di manutenzione della casella di posta, accedendo alla stessa tramite un link fornito nel corpo del messaggio.

 

L’URL del link incluso nella mail punta ad un dominio di Microsoft, nello specifico hXXps://up2.blob.core.windows.net, che ospita una finta pagina di login. Sebbene in apparenza il link sembri lecito, l’e-mail stessa presenta le anomalie tipiche di un’e-mail di phishing:

Il mittente non è Microsoft

Una veloce analisi degli headers rileva che il mittente non è Microsoft ma bluewin.ch in questo caso:

 

Il sorgente dell’e-mail è offuscato

L’e-mail contiene due parti MIME: testo semplice e HTML.

L’HTML si presenta leggermente offuscato nella speranza di aggirare i filtri antispam, il tag <i class=”rnd”>Hi</i> è ripetuto innumerevoli volte ma lo stile applicato lo rende invisibile e non interferisce con la lettura da parte dell’utente.

Analisi della finta pagina di accesso

La pagina ospitata al link hXXps://up2.blob.core.windows.net/a520s5ecfe5dced56/update2.html recupera l’indirizzo e-mail della vittima dal fragment dell’URL per riempire il campo username.

Le credenziali inserite sono successivamente inviate alla pagina hXXps://s4egy.com/true/send2.php tramite richiesta HTTP GET effettuata con AJAX, mentre l’utente è rimandato alla pagina hXXps://drive.google.com/file/d/1OH-fQA1yZBOfjCM8CWuJAVSAU_weuzt5/view dove viene mostrato un finto documento.

 

Indicatori di compromissione

  • IoC (.txt) – File globale :   Domini, URL