{"id":14281,"date":"2021-06-30T07:00:00","date_gmt":"2021-06-30T05:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=14281"},"modified":"2021-06-28T12:15:32","modified_gmt":"2021-06-28T10:15:32","slug":"trend-phishing-con-pdf","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/trend-phishing-con-pdf\/","title":{"rendered":"I pi\u00f9 recenti trend di phishing con PDF del 2020"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Tempo di lettura stimato: <\/span>9<\/span> minuti<\/span><\/p>\n\n\n\n

Nel periodo 2019-2020 si \u00e8 notato un drammatico aumento del 1160% dei file PDF dannosi.<\/strong> Si \u00e8 passato da 411.800 file dannosi a 5.224.056. I file PDF sono un vettore di phishing allettante in quanto sono multi piattaforma e consentono agli aggressori di ingaggiare maggiori utenti, rendendo i loro schemi di truffa pi\u00f9 credibili rispetto a una e-mail testuale con un semplice link.<\/strong><\/p>\n\n\n\n

Per attirare gli utenti a cliccare su link e pulsanti incorporati nei file PDF di phishing, sono cinque i principali schemi utilizzati dagli aggressori: Fake Captcha, Coupon, Play Button, File Sharing ed E-commerce.<\/em><\/p>\n\n\n\n

Analisi dei dati<\/h2>\n\n\n\n

Per analizzare le tendenze, sono stati utilizzati i dati raccolti dalla piattaforma WildFire di Palo Alto Networks<\/a>. Sono stati raccolti un sottoinsieme di campioni PDF di phishing per tutto il 2020 su base settimanale. Sono stati analizzati oltre 5 milioni di casi di phishing con PDF per il solo 2020 e l\u2019aumento dell\u2019incidenza rispetto al totale dei documenti inviati, \u00e8 salito del 1160%.<\/strong><\/p>\n\n\n\n

In particolare: nel 2019 il totale dei file analizzati \u00e8 stato 4,5 miliardi, di cui circa 411 mila sono risultati malware (0.009%). Nel 2020, in seguito all\u2019analisi di oltre 6,7 miliardi di documenti, ben 5,2 milioni sono risultati vettori di phishing con PDF (0.08%).<\/strong><\/p>\n\n\n\n

Phishing con PDF, i metodi analizzati pi\u00f9 comunemente<\/h2>\n\n\n\n

Sono stati individuati cinque principali schemi di phishing dal set di dati e ora li analizzeremo in breve in ordine di distribuzione. \u00c8 importante tenere a mente che i file usati in attacchi di phishing con PDF spesso agiscono come un passo secondario e lavorano insieme al loro vettore (ad esempio, un’e-mail o un articolo che li contiene).<\/strong><\/p>\n\n\n\n

1. Fake CAPTCHA<\/em><\/h3>\n\n\n\n

I file PDF Fake CAPTCHA<\/em>, come suggerisce il nome, richiedono agli utenti di verificare s\u00e9 stessi attraverso un falso CAPTCHA<\/a><\/strong>. I CAPTCHA sono test di sfida-risposta che aiutano a determinare se un utente \u00e8 umano o meno.<\/p>\n\n\n\n

Tuttavia, i casi di phishing con PDF osservati non usano un vero CAPTCHA, ma un’immagine che raffigura un test CAPTCHA<\/strong>. Non appena gli utenti cercano di “verificarsi” cliccando sul pulsante continua<\/em>, vengono portati su un sito web controllato dall’attaccante.<\/p>\n\n\n\n

La figura qui sotto mostra un esempio di un file PDF con un falso CAPTCHA incorporato, che \u00e8 solo un’immagine cliccabile.<\/p>\n\n\n\n

\"phishing<\/a><\/figure>\n\n\n\n

2. Coupon<\/h3>\n\n\n\n

La seconda categoria identificata sono file PDF di phishing a tema coupon<\/em> e spesso usavano il logo di una importante compagnia petrolifera<\/em>.<\/strong><\/p>\n\n\n\n

Una notevole quantit\u00e0 di questi file era in russo con note come “\u041f\u041e\u041b\u0423\u0427\u0418\u0422\u042c 50% \u0421\u041a\u0418\u0414\u041a\u0423” e “\u0416\u041c\u0418\u0422\u0415 \u041d\u0410 \u041a\u0410\u0420\u0422\u0418\u041d\u041a\u0423” che si traducono rispettivamente in “ottieni il 50% di sconto” e “clicca sull’immagine”. La figura qui sotto mostra un esempio di questi tipi di file PDF di phishing:<\/p>\n\n\n\n

\"phishing<\/a><\/figure>\n\n\n\n

Simile ad altre campagne osservate in passato, questi phishing con PDF hanno anche sfruttato il re-indirizzamento del traffico per le ragioni menzionate in precedenza<\/strong>. Analizzando diversi di essi, si \u00e8 scoperto che usano due re-indirizzatori di traffico. La figura qui sotto mostra la catena di un campione:<\/p>\n\n\n\n

\"redirect\"<\/a><\/figure>\n\n\n\n

Il sito web di ingresso ci ha portato a un altro sito web (track[.]backtoblack.xyz<\/code>), su cui era impostato un altro redirect<\/em>.<\/p>\n\n\n\n

Alla fine, si viene indirizzati a un sito di incontri per adulti attraverso una richiesta GET con alcuni parametri compilati come click_id<\/code>, che pu\u00f2 essere utilizzato per la monetizzazione della pagina. Tutti questi reindirizzamenti sono avvenuti attraverso messaggi di redirect HTTP 302. La ricerca ha mostrato che il parametro offer_id<\/code> di backtoblack[.]xyz<\/code> controlla su quale sito l’utente arriva alla fine.<\/p>\n\n\n\n

3. Immagine statica con un play button<\/em><\/h3>\n\n\n\n

Questi phishing con PDF non portano necessariamente un messaggio specifico, in quanto sono per lo pi\u00f9 immagini statiche con sovrimpresso un pulsante di riproduzione video, in modo che sembrino dei video da dover far avviare.<\/strong><\/p>\n\n\n\n

Anche se si sono osservate diverse categorie di immagini, una parte significativa di esse ha usato come soggetto nudit\u00e0 o temi economico\/monetari specifici <\/strong>come i Bitcoin, grafici azionari e simili per attirare gli utenti a cliccare sul pulsante di riproduzione.<\/p>\n\n\n\n

L\u2019immagine qui sotto mostra un file PDF con un logo Bitcoin e un pulsante di riproduzione cliccabile.<\/p>\n\n\n\n

\"phishing<\/a><\/figure><\/div>\n\n\n\n

Cliccando il pulsante play<\/em>, come intuibile, si viene reindirizzati a un altro sito web.<\/strong> Nella maggior parte dei test effettuati, il redirect<\/em> puntava a https:\/\/gerl-s[.]online\/?s1=ptt1<\/code>.<\/p>\n\n\n\n

Dal nome del dominio, si potrebbe supporre che il sito sia anche nel regno degli incontri online. Tuttavia, al momento di questo scritto, il sito \u00e8 stato rimosso. A differenza della campagna precedente, c’era solo un redirect coinvolto<\/strong>, e si \u00e8 notato che tutti i redirect avevano il seguente formato:<\/p>\n\n\n\n

id-6-caratteri-alfanumerici[dot]sed<\/code> seguito da un dominio principale, analoghi a quelli elencati qui di seguito:<\/p>\n\n\n\n

http:\/\/pn9yozq[.]sed.notifyafriend.com\/ http:\/\/l8cag6n[.]sed.theangeltones.com\/ http:\/\/9ltnsan[.]sed.roxannearian.com\/ http:\/\/wnj0e4l[.]sed.ventasdirectas.com\/ http:\/\/x6pd3rd[.]sed.ojjdp.com\/ http:\/\/ik92b69[.]sed.chingandchang.com\/
http:\/\/of8nso0[.]sed.lickinlesbians.com\/<\/code><\/p>\n\n\n\n

4. Condivisione di file<\/h3>\n\n\n\n
\"phishing<\/a><\/figure>\n\n\n\n

Questa categoria di phishing con PDF utilizza servizi popolari di condivisione di file online per attirare l’attenzione dell’utente<\/strong>. Spesso informano l’utente che qualcuno ha condiviso un documento con lui. Tuttavia, per ragioni che possono variare da un file PDF all’altro, l’utente non pu\u00f2 vedere il contenuto e apparentemente deve cliccare su un pulsante incorporato o un link<\/strong>. L\u2019immagine qui sopra mostra un PDF con un logo Dropbox che chiede all’utente di cliccare sul pulsante per richiedere l’accesso.<\/p>\n\n\n\n

Qui sotto, analogamente, un’immagine di un file PDF con un logo OneDrive, chiede all’utente di cliccare su “Access Document” per visualizzare il contenuto del file.<\/strong><\/p>\n\n\n\n

Con l’aumento del numero di servizi di condivisione di file basati su cloud, non sarebbe sorprendente vedere questo tema aumentare e continuare ad essere tra gli approcci pi\u00f9 popolari.<\/em><\/strong><\/p>\n\n\n\n

\"phishing<\/a><\/figure>\n\n\n\n

Facendo clic sul pulsante “Access Document<\/em>” si viene portati a una pagina di accesso con un logo Atlassian, come mostrato qui sotto. Ci sono due opzioni da utilizzare per l’accesso: Microsoft email o altri servizi di posta elettronica.<\/p>\n\n\n\n

\"phishing<\/a><\/figure>\n\n\n\n

Atlassian Stack \u00e8 orientato verso le imprese, quindi presumiamo che questa campagna fosse rivolta agli utenti aziendali.<\/strong> Ognuno di questi link \u00e8 stato progettato per assomigliare a una legittima pagina di accesso via e-mail.<\/p>\n\n\n\n

Per esempio, “Continua con Microsoft<\/em>” porta a una pagina che sembra in qualche modo simile a quella che si incontra entrando nel legittimo https:\/\/login.live.com<\/a>, come mostrato qui sotto:<\/p>\n\n\n\n