phishing con pdf cover Giacomo Lanzi

I più recenti trend di phishing con PDF del 2020

Tempo di lettura stimato: 9 minuti

Nel periodo 2019-2020 si è notato un drammatico aumento del 1160% dei file PDF dannosi. Si è passato da 411.800 file dannosi a 5.224.056. I file PDF sono un vettore di phishing allettante in quanto sono multi piattaforma e consentono agli aggressori di ingaggiare maggiori utenti, rendendo i loro schemi di truffa più credibili rispetto a una e-mail testuale con un semplice link.

Per attirare gli utenti a cliccare su link e pulsanti incorporati nei file PDF di phishing, sono cinque i principali schemi utilizzati dagli aggressori: Fake Captcha, Coupon, Play Button, File Sharing ed E-commerce.

Analisi dei dati

Per analizzare le tendenze, sono stati utilizzati i dati raccolti dalla piattaforma WildFire di Palo Alto Networks. Sono stati raccolti un sottoinsieme di campioni PDF di phishing per tutto il 2020 su base settimanale. Sono stati analizzati oltre 5 milioni di casi di phishing con PDF per il solo 2020 e l’aumento dell’incidenza rispetto al totale dei documenti inviati, è salito del 1160%.

In particolare: nel 2019 il totale dei file analizzati è stato 4,5 miliardi, di cui circa 411 mila sono risultati malware (0.009%). Nel 2020, in seguito all’analisi di oltre 6,7 miliardi di documenti, ben 5,2 milioni sono risultati vettori di phishing con PDF (0.08%).

Phishing con PDF, i metodi analizzati più comunemente

Sono stati individuati cinque principali schemi di phishing dal set di dati e ora li analizzeremo in breve in ordine di distribuzione. È importante tenere a mente che i file usati in attacchi di phishing con PDF spesso agiscono come un passo secondario e lavorano insieme al loro vettore (ad esempio, un’e-mail o un articolo che li contiene).

1. Fake CAPTCHA

I file PDF Fake CAPTCHA, come suggerisce il nome, richiedono agli utenti di verificare sé stessi attraverso un falso CAPTCHA. I CAPTCHA sono test di sfida-risposta che aiutano a determinare se un utente è umano o meno.

Tuttavia, i casi di phishing con PDF osservati non usano un vero CAPTCHA, ma un’immagine che raffigura un test CAPTCHA. Non appena gli utenti cercano di “verificarsi” cliccando sul pulsante continua, vengono portati su un sito web controllato dall’attaccante.

La figura qui sotto mostra un esempio di un file PDF con un falso CAPTCHA incorporato, che è solo un’immagine cliccabile.

phishing con pdf captcha

2. Coupon

La seconda categoria identificata sono file PDF di phishing a tema coupon e spesso usavano il logo di una importante compagnia petrolifera.

Una notevole quantità di questi file era in russo con note come “ПОЛУЧИТЬ 50% СКИДКУ” e “ЖМИТЕ НА КАРТИНКУ” che si traducono rispettivamente in “ottieni il 50% di sconto” e “clicca sull’immagine”. La figura qui sotto mostra un esempio di questi tipi di file PDF di phishing:

phishing con pdf coupon

Simile ad altre campagne osservate in passato, questi phishing con PDF hanno anche sfruttato il re-indirizzamento del traffico per le ragioni menzionate in precedenza. Analizzando diversi di essi, si è scoperto che usano due re-indirizzatori di traffico. La figura qui sotto mostra la catena di un campione:

redirect

Il sito web di ingresso ci ha portato a un altro sito web (track[.]backtoblack.xyz), su cui era impostato un altro redirect.

Alla fine, si viene indirizzati a un sito di incontri per adulti attraverso una richiesta GET con alcuni parametri compilati come click_id, che può essere utilizzato per la monetizzazione della pagina. Tutti questi reindirizzamenti sono avvenuti attraverso messaggi di redirect HTTP 302. La ricerca ha mostrato che il parametro offer_id di backtoblack[.]xyz controlla su quale sito l’utente arriva alla fine.

3. Immagine statica con un play button

Questi phishing con PDF non portano necessariamente un messaggio specifico, in quanto sono per lo più immagini statiche con sovrimpresso un pulsante di riproduzione video, in modo che sembrino dei video da dover far avviare.

Anche se si sono osservate diverse categorie di immagini, una parte significativa di esse ha usato come soggetto nudità o temi economico/monetari specifici come i Bitcoin, grafici azionari e simili per attirare gli utenti a cliccare sul pulsante di riproduzione.

L’immagine qui sotto mostra un file PDF con un logo Bitcoin e un pulsante di riproduzione cliccabile.

phishing con pdf fake play button

Cliccando il pulsante play, come intuibile, si viene reindirizzati a un altro sito web. Nella maggior parte dei test effettuati, il redirect puntava a https://gerl-s[.]online/?s1=ptt1.

Dal nome del dominio, si potrebbe supporre che il sito sia anche nel regno degli incontri online. Tuttavia, al momento di questo scritto, il sito è stato rimosso. A differenza della campagna precedente, c’era solo un redirect coinvolto, e si è notato che tutti i redirect avevano il seguente formato:

id-6-caratteri-alfanumerici[dot]sed seguito da un dominio principale, analoghi a quelli elencati qui di seguito:

http://pn9yozq[.]sed.notifyafriend.com/ http://l8cag6n[.]sed.theangeltones.com/ http://9ltnsan[.]sed.roxannearian.com/ http://wnj0e4l[.]sed.ventasdirectas.com/ http://x6pd3rd[.]sed.ojjdp.com/ http://ik92b69[.]sed.chingandchang.com/
http://of8nso0[.]sed.lickinlesbians.com/

4. Condivisione di file

phishing con pdf condivisione

Questa categoria di phishing con PDF utilizza servizi popolari di condivisione di file online per attirare l’attenzione dell’utente. Spesso informano l’utente che qualcuno ha condiviso un documento con lui. Tuttavia, per ragioni che possono variare da un file PDF all’altro, l’utente non può vedere il contenuto e apparentemente deve cliccare su un pulsante incorporato o un link. L’immagine qui sopra mostra un PDF con un logo Dropbox che chiede all’utente di cliccare sul pulsante per richiedere l’accesso.

Qui sotto, analogamente, un’immagine di un file PDF con un logo OneDrive, chiede all’utente di cliccare su “Access Document” per visualizzare il contenuto del file.

Con l’aumento del numero di servizi di condivisione di file basati su cloud, non sarebbe sorprendente vedere questo tema aumentare e continuare ad essere tra gli approcci più popolari.

phishing con pdf onedrive file sharing

Facendo clic sul pulsante “Access Document” si viene portati a una pagina di accesso con un logo Atlassian, come mostrato qui sotto. Ci sono due opzioni da utilizzare per l’accesso: Microsoft email o altri servizi di posta elettronica.

phishing con PDF

Atlassian Stack è orientato verso le imprese, quindi presumiamo che questa campagna fosse rivolta agli utenti aziendali. Ognuno di questi link è stato progettato per assomigliare a una legittima pagina di accesso via e-mail.

Per esempio, “Continua con Microsoft” porta a una pagina che sembra in qualche modo simile a quella che si incontra entrando nel legittimo https://login.live.com, come mostrato qui sotto:

Dopo aver inserito un indirizzo email, si procede ad un’altra pagina che ci ha chiesto di inserire la nostra password.

Si è potuto osservare che le credenziali rubate sono state inviate sul server dell’attaccante attraverso i parametri in una richiesta GET.

Dopo aver inserito le credenziali, si viene riportati alla prima pagina di login.

Vorremmo far notare che, nel momento in cui abbiamo visitato questo sito, era già segnalato come phishing dai principali browser come Google Chrome e Mozilla Firefox.

Tuttavia, durante le ricerche, si è proceduto testando tutto il percorso con credenziali false per indagare ulteriormente e approfondire il metodo di phishing con PDF.

5. E-commerce

Incorporare temi di e-commerce in email e documenti di phishing con PDF non è una nuova tendenza. Tuttavia, si è osservata un trend in salita del numero di file PDF fraudolenti che hanno utilizzato marchi di e-commerce internazionali per indurre gli utenti a cliccare sui link incorporati.

L’immagine qui sotto mostra un esempio di phishing con PDF che notifica all’utente che la sua carta di credito non è più valida e che deve “aggiornare le informazioni di pagamento” per non interrompere i benefici di Amazon Prime.

Analogamente, un’altra immagine qui in basso mostra un documento che comunica all’utente che il suo account Apple ID sarà sospeso se non clicca sul link per aggiornare le sue informazioni.

Al momento dell’analisi dei dati ai fini di questo articolo, tutti i siti web di questa specifica campagna di phishing con PDF sono stati eliminati. Vale la pena notare che la maggior parte di questi file a tema e-commerce hanno utilizzato https://t.umblr[.]com/ per scopi di re-indirizzamento.

Conclusioni

Abbiamo coperto le campagne di phishing con PDF più comuni del 2020 insieme alla loro distribuzione e funzionamento generale. I dati degli ultimi anni dimostrano che la quantità di attacchi di phishing continua ad aumentare e l’ingegneria sociale è il vettore principale per gli attaccanti per approfittare degli utenti.

Ricerche precedenti hanno dimostrato che il phishing su larga scala può avere un tasso di click-through fino all’8%. Pertanto, è importante verificare e ricontrollare i file che si ricevono inaspettatamente, anche se provengono da un ente che si conosce e di cui ci si fida.

Per esempio, perché il tuo account è stato bloccato dal nulla, o perché qualcuno ha condiviso un file con te quando meno te lo aspettavi?

È proprio con un occhio critico e riflettendo prima di agire che ci si difende meglio da campagne phishing di qualunque tipo. Abbiamo visto più volte quanto dannosi possono essere gli attacchi di phishing che vanno a segno, per questo ti consigliamo di valutare il nostro servizio di phishing etico per i dipendenti della tua azienda.

Tramite campagne di phishing etico saremo in grado di testare i dipendenti e recuperare dati importanti che verranno poi usati per progettare e svolgere training specifici su misura per le persone coinvolte.

Per saperne di più contattaci, saremo lieti di rispondere a ogni domanda.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

  • Aggiornamenti per prodotti Autodesk (AL04/241030/CSIRT-ITA) Ottobre 30, 2024
    Autodesk Inc. risolve 22 vulnerabilità di sicurezza con gravità “alta” che interessano i prodotti AutoCAD, Civil 3D, Advance Steel e DWG TrueView. Tali vulnerabilità, qualora sfruttate, potrebbero consentire l’esecuzione di codice arbitrario sui sistemi interessati, l’accesso a dati sensibili e/o causare l’indisponibilità di software e dispositivi dell'utente.
  • CyberPanel: rilevato sfruttamento in rete di 3 CVE (AL03/241030/CSIRT-ITA) Ottobre 30, 2024
    Rilevato lo sfruttamento attivo in rete delle vulnerabilità CVE-2024-51568, CVE-2024-51567 e CVE-2024-51378 relative al prodotto CyberPanel, pannello di controllo per l’hosting web. Tali vulnerabilità risultano essere interessate in una recente campagna di distribuzione del ransomware PSAUX.
  • Aggiornamenti di sicurezza per prodotti Mozilla (AL02/241030/CSIRT-ITA) Ottobre 30, 2024
    Mozilla ha rilasciato aggiornamenti di sicurezza per sanare alcune vulnerabilità, di cui 2 con gravità “alta”, nei prodotti Firefox, Firefox ESR e Thunderbird.
  • Risolte vulnerabilità in Google Chrome (AL01/301024/CSIRT-ITA) Ottobre 30, 2024
    Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 2 vulnerabilità di sicurezza.
  • Aggiornamenti di sicurezza Apple (AL01/241029/CSIRT-ITA) Ottobre 30, 2024
    Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità presenti nei propri prodotti.
  • Vulnerabilità in prodotti QNAP (AL04/241029/CSIRT-ITA) Ottobre 29, 2024
    Aggiornamenti di sicurezza QNAP risolvono una vulnerabilità con gravità “critica” in HBS 3 Hybrid Backup Sync. Tale vulnerabilità, qualora sfruttata, consentirebbe a un utente malintenzionato remoto di eseguire codice arbitrario.
  • Aggiornamenti di sicurezza per prodotti Synology (AL03/241029/CSIRT-ITA) Ottobre 29, 2024
    Aggiornamenti di sicurezza sanano due vulnerabilità presenti nei prodotti Synology Photos e BeePhotos che potrebbero permettere ad un attaccante di l’esecuzione di codice arbitrario sui prodotti interessati.
  • Risolta vulnerabilità in Squid (AL02/241029/CSIRT-ITA) Ottobre 29, 2024
    Disponibile aggiornamento di sicurezza che risolve una vulnerabilità con gravità “alta” in Squid, software open source utilizzato come caching proxy. Tale vulnerabilità, qualora sfruttata, potrebbe permettere la compromissione della disponibilità del servizio sulle istanze interessate.
  • Aggiornamenti per REXML (AL02/241028/CSIRT-ITA) Ottobre 28, 2024
    Rilevata vulnerabilità nel toolkit REXML, libreria per la manipolazione di file XML per il linguaggio di programmazione Ruby. Tale vulnerabilità potrebbe comportare la compromissione della disponibilità del servizio sulle istanze target.
  • Aggiornamenti per VMware Spring (AL01/241028/CSIRT-ITA) Ottobre 28, 2024
    Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, qualora sfruttata, potrebbe consentire il bypass dei meccanismi di sicurezza sui sistemi interessati.

RSS darkreading

RSS Full Disclosure

  • 4 vulnerabilities in ibmsecurity Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 4 vulnerabilities in ibmsecurity Advisory URL: https://pierrekim.github.io/advisories/2024-ibmsecurity.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibmsecurity-4-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2024-31871, CVE-2024-31872, CVE-2024-31873, CVE-2024-31874 ## Product description ## Vulnerability Summary Vulnerable versions:...
  • 32 vulnerabilities in IBM Security Verify Access Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 32 vulnerabilities in IBM Security Verify Access Advisory URL: https://pierrekim.github.io/advisories/2024-ibm-security-verify-access.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibm-security-verify-access-32-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2022-2068, CVE-2023-30997, CVE-2023-30998, CVE-2023-31001, CVE-2023-31004, CVE-2023-31005,...
  • xlibre Xnest security advisory & bugfix releases Ottobre 31, 2024
    Posted by Enrico Weigelt, metux IT consult on Oct 31XLibre project security advisory --------------------------------- As Xlibre Xnest is based on Xorg, it is affected by some security issues which recently became known in Xorg: CVE-2024-9632: can be triggered by providing a modified bitmap to the X.Org server. CVE-2024-9632: Heap-based buffer overflow privilege escalation in _XkbSetCompatMap […]
  • APPLE-SA-10-29-2024-1 Safari 18.1 Ottobre 31, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 31APPLE-SA-10-29-2024-1 Safari 18.1 Safari 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121571. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Safari Downloads Available for: macOS Ventura and macOS Sonoma Impact: An […]
  • SEC Consult SA-20241030-0 :: Query Filter Injection in Ping Identity PingIDM (formerly known as ForgeRock Identity Management) (CVE-2024-23600) Ottobre 31, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 31SEC Consult Vulnerability Lab Security Advisory < 20241030-0 > ======================================================================= title: Query Filter Injection product: Ping Identity PingIDM (formerly known as ForgeRock Identity Management) vulnerable version: v7.0.0 - v7.5.0 (and older unsupported versions) fixed version: various patches; v8.0 CVE number:...
  • SEC Consult SA-20241023-0 :: Authenticated Remote Code Execution in Multiple Xerox printers (CVE-2024-6333) Ottobre 29, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 28SEC Consult Vulnerability Lab Security Advisory < 20241023-0 > ======================================================================= title: Authenticated Remote Code Execution product: Multiple Xerox printers (EC80xx, AltaLink, VersaLink, WorkCentre)  vulnerable version: see vulnerable versions below fixed version: see solution section below CVE number: CVE-2024-6333...
  • APPLE-SA-10-28-2024-8 visionOS 2.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-8 visionOS 2.1 visionOS 2.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121566. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: Apple Vision Pro Impact: A malicious app […]
  • APPLE-SA-10-28-2024-7 tvOS 18.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-7 tvOS 18.1 tvOS 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121569. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: Apple TV HD and Apple TV 4K […]
  • APPLE-SA-10-28-2024-6 watchOS 11.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-6 watchOS 11.1 watchOS 11.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121565. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Accessibility Available for: Apple Watch Series 6 and later Impact: An […]
  • APPLE-SA-10-28-2024-5 macOS Ventura 13.7.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-5 macOS Ventura 13.7.1 macOS Ventura 13.7.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121568. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: macOS Ventura Impact: A malicious […]

Customers

Newsletter

{subscription_form_2}