Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
• Cosa imparerai: Come riconoscere e bloccare campagne di impersonation di enti governativi via email • Tempo richiesto: 15 minuti per l'analisi completa • Difficoltà: Intermedia (richiede conoscenze DNS e header email)
Un milione di email malevole che si spacciano per CERT-UA.
Se hai ricevuto una mail dal Computer Emergency Response Team ucraino che ti chiede di scaricare un tool di sicurezza, fermati. È probabile che tu sia finito nel mirino di una campagna di impersonation che ha colpito caselle email in tutto il mondo.
Gli attaccanti hanno sfruttato la reputazione di CERT-UA — l'agenzia di cybersecurity ucraina — per diffondere AGEWHEEZE, un malware di amministrazione remota che una volta installato ti apre le porte di casa.
Il meccanismo è semplice quanto efficace: email apparentemente ufficiali con allegati "di sicurezza" che in realtà contengono codice malevolo. Il problema? Sembrano autentiche al 90%.
Quando un'autorità di sicurezza nazionale viene impersonata, i filtri tradizionali vanno in tilt. L'email appare legittima, il mittente credibile, il contenuto plausibile.
Cosa ti serve per analizzare queste minacce:
• Accesso agli header email completi del tuo client • Strumenti di verifica DNS (nslookup, dig) • Accesso ai log del gateway email aziendale • Conoscenze base di SPF, DKIM e DMARC • Sandbox o ambiente isolato per l'analisi degli allegati
Prima cosa: verifica sempre il dominio di invio.
Da: cert-ua@gov.ua (FALSO)
Da: security-alert@cert-ua.gov.ua (FALSO)
Da: incident-response@cert.gov.ua (FALSO)
Il dominio ufficiale di CERT-UA è cert.gov.ua. Qualsiasi variazione è sospetta.
Controlla il record SPF del dominio:
nslookup -type=TXT cert.gov.ua
Se l'IP del server mittente non è autorizzato nel record SPF, hai la conferma che è spoofing.
Esamina gli header per verificare l'autenticazione:
Authentication-Results: spf=fail smtp.mailfrom=fake-cert-ua.com;
dkim=fail header.d=cert.gov.ua;
dmarc=fail header.from=cert.gov.ua
Triple fail = email falsa al 100%.
Controlla anche il policy DMARC di CERT-UA:
nslookup -type=TXT _dmarc.cert.gov.ua
Le email di impersonation CERT-UA seguono pattern riconoscibili:
• Subject line con parole come "URGENT", "SECURITY ALERT", "INCIDENT" • Testo in inglese (CERT-UA comunica principalmente in ucraino) • Link a domini non governativi • Allegati con estensioni .exe, .scr, .zip
Esempio tipico:
Subject: URGENT: Security Vulnerability Detected
Dear IT Administrator,
Our security systems have detected a critical vulnerability
in your network infrastructure. Please download and run
the attached security tool immediately.
Attachment: security_patch.exe (12.4 MB)
NON aprire mai gli allegati direttamente. Usa sempre una sandbox.
Caratteristiche di AGEWHEEZE:
• File PE32 executable • Dimensione 10-15 MB • Packed con UPX o simili • Contatta C2 server su porte non standard
Se hai VirusTotal disponibile, carica l'hash del file:
SHA256: [hash dell'allegato]
Detection ratio: 45/70 (tipico per AGEWHEEZE)
Gli attaccanti usano spesso:
• Domini registrati di recente (whois check) • Hosting su provider low-cost • Certificati SSL Let's Encrypt • Redirect multipli per confondere i filtri
Controlla il whois del dominio mittente:
whois fake-cert-ua.com
Se è stato registrato negli ultimi 30 giorni, è rosso.
Come testare se il tuo ambiente è protetto:
Simula l'invio di una mail con caratteristiche simili (ovviamente senza allegati malevoli):
Da: security@fake-cert.gov.ua
Oggetto: URGENT: Security Update Required
Contenuto: Download attached patch immediately
Controlla i log del gateway email:
grep "fake-cert" /var/log/mail.log
grep "Authentication-Results" /var/log/mail.log | grep fail
Se la mail passa, hai un problema di configurazione.
Testa anche la detection degli allegati PE:
• Crea un file .exe innocuo • Invialo come allegato • Verifica che venga bloccato o sandboxato
Strumenti utili:
• MXToolbox per verificare SPF/DKIM • Mail-Tester per simulare invii • VirusTotal per analisi allegati • Hybrid Analysis per sandbox avanzata
Q: La mail sembra autentica, come faccio a essere sicuro? A: Verifica sempre i tre pilastri: dominio mittente, autenticazione email (SPF/DKIM/DMARC), e coerenza linguistica. CERT-UA non invia mai tool di sicurezza via email.
Q: Il mio antivirus non ha rilevato l'allegato. A: AGEWHEEZE usa tecniche di evasione avanzate. L'antivirus tradizionale non basta. Serve analisi comportamentale e sandbox.
Q: Come blocco queste mail a livello di gateway? A: Implementa regole che bloccano email da domini che impersonano enti governativi + allegati PE da mittenti non attendibili.
Q: Posso fidarmi di MailSniper per queste minacce? A: MailSniper usa analisi semantica AI che riconosce pattern di impersonation anche quando i parametri tecnici sembrano OK.
Q: Come formo il team su queste minacce? A: Organizza sessioni con esempi reali. Mostra come verificare mittenti e perché gli enti governativi non inviano mai software via email.
Un milione di email malevole non è un numero che si improvvisa.
Questa campagna dimostra quanto sia facile impersonare autorità governative quando i controlli di autenticazione email non sono configurati correttamente.
Prossimi passi: verifica la configurazione DMARC dei domini che impersoni, testa regolarmente i filtri con simulation, e ricorda che quando un'autorità di sicurezza ti contatta via email, la verifica telefonica è sempre la mossa giusta.
Perché alla fine, proteggere la posta elettronica non è questione di tecnologia — è questione di metodo.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.