Qualche giorno fà i ricercatori dei TrendLabs hanno
riferito di un attacco che sembra essere mirato e che coinvolge i messaggi email inviati tramite un servizio di Webmail. Con ulteriori indagini, i TrendLabs sono stati in grado di confermare che questo attacco sfrutta una precedente vulnerabilità in Hotmail, adesso patchata da Microsoft.
Trend Micro rileva i messaggi di posta elettronica dannosi come
HTML_AGENT.SMJ. Il suddetto attacco richiede semplicemente all'utente preso di mira di aprire il messaggio e-mail appositamente predisposto, che esegue automaticamente lo script incorporato. Questo porta poi al furto di informazioni critiche, in particolare i messaggi e-mail e informazioni sui contatti personali dell'utente interessato. I messaggi di posta elettronica rubati possono contenere informazioni riservate che i criminali informatici possono usare per le varie malicious routine. Lo script si connette all'indirizzo:
http://www{BLOCCATO}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a={nome user account}{numero} La natura di tale URL suggerisce fortemente che l'attacco è mirato. L'URL contiene due variabili {nome account}, che è l'ID di destinazione dell'utente Hotmail, e numero {}, che è un numero predefinito impostato dall'utente malintenzionato. Il numero, che sembra determinare il payload maligno, verrà eseguito per il furto di informazioni di routine che vengono eseguite solo quando i numeri sono determinati nel campo del numero {}.
L'URL porta ad un altro script rilevato da Trend Micro come
JS_AGENT.SMJ. Lo script attiva una richiesta che viene inviata al server di Hotmail. La suddetta richiesta invia a tutti gli utenti dei messaggi e-mail interessati ad un certo indirizzo di posta elettronica. L'inoltro dei messaggi di posta elettronica, però, funziona solo durante la sessione in cui lo script è stato eseguito e si ferma una volta che l'utente si disconnette. L'attacco sfrutta uno script o un meccanismo di filtraggio bug
CSS in Hotmail (
CVE-2011-1252). Microsoft ha già preso provvedimenti e ha
aggiornato Hotmail per risolvere il suddetto bug.
La vicenda è iniziata quando uno dei ricercatori di TrendLabs a Taiwan ha ricevuto un messaggio di posta elettronica che, a differenza di altri attacchi tramite e-mail che richiedono agli utenti di aprire il messaggio e fare clic su un link incorporato o di scaricare ed eseguire un allegato, l'esecuzione di questo attacco richiede soltanto agli utenti di visualizzare in anteprima il messaggio nei loro browser. Di seguito è riportato uno screenshot della pagina della casella di posta elettronica:
Gentile utente Facebook,
Il tuo account Facebook è accessibile da un computer o un dispositivo o da una posizione che non avete mai utilizzato prima. Per proteggere la sicurezza del tuo account, prima di confermare che il tuo account non è stato violato, abbiamo temporaneamente bloccato l'account.
Hai mai effettuato l'accesso a Facebook da altro luogo?
Se questo non è il tuo nome, si prega di utilizzare il vostro personal computer per effettuare il login su Facebook e seguire le istruzioni per gestire le informazioni del tuo account.
Se questo non è il tuo account, non preoccupatevi. Il relogin può portare nuovamente al proprio account.
Per ulteriori informazioni, visitare il nostro Centro assistenza qui:
[LINK]
Grazie,
Facebook Security Team
L'anteprima del messaggio e-mail viene richiesto di scaricare uno script da un URL remoto. Lo script viene quindi iniettato nella pagina per avviare il furto di informazioni. I dati rubati includono i messaggi di posta elettronica e le informazioni di contatto. Ancora più importante, però, lo script consente anche l'inoltro di email su account utenti interessati, che invia tutti i loro messaggi a un indirizzo specifico. Il messaggio e-mail che sembra essere stato appositamente predisposto per beneficiarne, in quanto utilizza ogni ID utente Hotmail ID nello script dannoso che essa incorpora. Successivamente vengono scaricati anche l'uso specifico dell'ID Hotmail e un numero identificato da un aggressore. La modifica del numero può cambiare il carico utile.
"I dipendenti che controllano i loro account di posta elettronica personali sul posto di lavoro e che sono rimaste vittime danno all'aggressore l'accesso alle informazioni sensibili che possono essere riconducibili alla loro azienda, compresi i contatti e messaggi riservati. Le aziende dovrebbero prendere in seria considerazione i rischi che portano questi attacchi e simili, tanto più che solo l'anteprima di messaggi di posta elettronica già attiva l'esecuzione dello script malizioso",
spiega Trend Micro sul suo blog.
Anche se la falla è stata tappata, vi consigliamo di prestare attenzione quando aprite le caselle di posta elettronica e ricevete messaggi da sedicenti mittenti Facebook che sfruttano il sistema anti-phishing di Facebook per comunicare presunti accessi non autorizzati. I ricercatori dei TrendLabs monitorano da giorni l'attacco malware che mette in luce il rischio, spesso ignorato e sottovalutato di consentire ai dipendenti di controllare i loro account di posta personale sul lavoro.
