Gli aggressori stanno falsificando Google Translate in una campagna di phishing in corso che utilizza una tecnica di codifica JavaScript comune per aggirare gli scanner di sicurezza della posta elettronica. Sfruttare la fiducia in Google Translate è un approccio mai visto prima, hanno affermato i ricercatori.
I ricercatori di Avanan, una società di software di Check Point, hanno scoperto la campagna, che utilizza la tecnica di codifica per offuscare i siti di phishing per farli apparire legittimi all’utente finale e ingannare i gateway di sicurezza. Il phishing utilizza anche tattiche di ingegneria sociale per convincere gli utenti che devono rispondere rapidamente a un’e-mail o affrontare la chiusura di un account, secondo un post sul blog pubblicato oggi.
I messaggi indirizzano un utente a un collegamento che lo indirizza a una pagina di raccolta delle credenziali che sembra essere una pagina di Google Traduttore legittima, con un campo e-mail precompilato che richiede solo che una persona inserisca la propria password per accedere.
La campagna è un esempio di una serie di tattiche attuali e sempre più sofisticate che gli attori delle minacce stanno utilizzando nelle campagne di phishing contemporanee per ingannare sia gli utenti finali più esperti che hanno acquisito familiarità con le tattiche dannose, sia gli scanner di posta elettronica che eliminano i messaggi sospetti prima che farcela, ha osservato Jeremy Fuchs, ricercatore e analista di sicurezza informatica di Avan.
“Questo attacco ha un po’ di tutto”, ha scritto nel post. “Ha un’ingegneria sociale unica nel front-end. Sfrutta un sito legittimo per aiutare a entrare nella posta in arrivo. Usa l’inganno e l’offuscamento per confondere i servizi di sicurezza”.
“Presentazione urgente”
I ricercatori hanno osservato un’e-mail in lingua spagnola utilizzata nella campagna, che inizia, come la maggior parte dei messaggi di phishing, con l’ingegneria sociale.
In questo caso, gli hacker fanno un “appello urgente” affinché un utente confermi l’accesso al proprio account informandolo che si stanno perdendo email importanti e hanno solo 48 ore per esaminarle prima che vengano eliminate.
“Questo è un messaggio convincente che potrebbe indurre qualcuno ad agire”, ha osservato Fuchs.
Dopo aver abboccato, il link indirizza una vittima a una pagina di accesso che è una pagina simile a Google Translate “abbastanza convincente”, completa del tipico logo nell’angolo in alto a sinistra della pagina e un elenco a discesa delle lingue. Un esame più attento mostra che l’URL non ha nulla a che fare con Google Translate, tuttavia, hanno osservato i ricercatori.
Il codice in background rende ancora più evidente che la pagina è un fake, con l'”HTML che trasforma questo sito in un sosia di Google Translate,” Fuchs ha scritto.
Uno dei comandi JavaScript utilizzati dagli hacker qui è la “funzione unescape,” che è “un classico comando che aiuta a offuscare il vero significato della pagina”, ha scritto.
Unescape è una funzione in JavaScript che calcola una nuova stringa in cui le sequenze di escape esadecimali vengono sostituite con il carattere che rappresenta. La funzione può essere utilizzata su una pagina Web per mostrare la pagina come una cosa ma poi, una volta decodificata, mostra un “mazzo di parole senza senso” che può ingannare la sicurezza della posta elettronica, secondo un video sulla campagna di phishing pubblicato da Avanan.
“Questo attacco richiede la vigilanza da parte dell’utente finale e l’elaborazione avanzata del linguaggio naturale da parte del servizio di sicurezza per fermarsi”, ha osservato Fuchs nel post.
I phisher puntano al successo
In effetti, poiché gli utenti di Internet hanno già familiarità con le tattiche comuni utilizzate dagli attori delle minacce per indurli a cedere le credenziali alle pagine di phishing, gli attori si stanno orientando sempre più verso nuove tattiche o combinando quelle comuni in modi diversi per contribuire a garantire il successo della loro attività di criminalità informatica, hanno detto i ricercatori.
Recentemente gli aggressori sono stati visti utilizzare di tutto, dai messaggi a tema vocale alle fatture PayPal contraffatte, allo sfruttamento della guerra in corso in Ucraina per convincere utenti di posta elettronica inconsapevoli a abboccare al phishing.
Anche con l’aumento della sofisticatezza, tuttavia, si applicano ancora le consuete precauzioni che tutti gli utenti di Internet e i professionisti della sicurezza dovrebbero adottare per evitare di cedere le proprie credenziali ai phisher, non solo nel caso della campagna di Google Translate, ma su tutta la linea, secondo Avanan.
I ricercatori raccomandano che le persone passino sempre sopra gli URL trovati nei messaggi prima di fare clic su di essi per assicurarsi che la destinazione sia legittima, oltre a prestare maggiore attenzione alle incongruenze grammaticali, ortografiche e fattuali all’interno di un’e-mail prima di fidarsi di essa.
E come sempre, gli utenti dovrebbero anche mettere in gioco il buon senso di base quando hanno a che fare con e-mail da entità sconosciute, hanno affermato i ricercatori. Se hanno dubbi sulla provenienza o sulle loro intenzioni, dovrebbero semplicemente chiedere al mittente originale di essere sicuro prima di intraprendere ulteriori azioni.