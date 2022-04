In queste ore, diversi account collegati al colosso di Redmond stanno ricevendo delle mail di provenienza sospetta, in varie forme

L’allarme arriva direttamente da alcuni ricercatori israeliani che hanno notato dei movimenti decisamente inusuali sugli account di Microsoft Exchange. Sarebbe infatti in corso, in queste settimane, una importante campagna di phishing. La mail sospetta può arrivare in diverse forme (se l’obiettivo è – ad esempio – un’azienda, il mittente potrebbe essere “mascherato” con un nome utente molto simile a un qualsiasi account aziendale) e ha come obiettivo quello di distribuire il trojan IcedID, che di solito interessa account bancari, account di e-commerce, providers di carte di credito o di altri servizi.

Phishing Microsoft Exchange, sale il livello d’attenzione

Quali sono gli account più esposti?

Come si diceva, la tecnica di distribuzione attraverso Microsoft Exchange potrebbe essere diversa: quella di mascherare il mittente dietro a un account molto simile a quello aziendale, oppure quello di spacciarsi per fornitori di beni e servizi. Nella mail che vi abbiamo mostrato, si utilizza una mascherina ben poco credibile di Poste Italiane che, lo ricordiamo, non effettua mai comunicazioni di questo tipo.

Quali sono le utenze maggiormente a rischio? Sicuramente, quelle pià esposte all’acquisizione: ad esempio, mail pubbliche, che possono essere raggiungibili attraverso portali di aziende alla voce “contatti”. Oppure, quelle mail che rientrano in un precedente thread: la tecnica specifica, in questo caso, si chiama thread hijacking. Gli hacker si inseriscono in precedenti thread legittimi (ad esempio, in forum) e inviano la mail di phishing inserendola nella sequenza di quel thread specifico.

Dopo aver rilevato il problema che sta colpendo, nella fattispecie, Microsoft Exchange, i ricercatori israeliani che hanno portato all’attenzione pubblica il fenomeno consigliano di monitorare in maniera più specifica quegli account esposti e non sottoposti ad aggiornamenti di sicurezza da diverso tempo (il consiglio, pertanto, è quello di eseguire gli ultimi aggiornamenti di Exchange che puntano a intervenire su alcune vulnerabilità recentemente segnalate).