Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una campagna di phishing che si spaccia per DHL è progettata per rubare le credenziali degli utenti. La catena di attacco utilizza una falsa pagina di password monouso e un portale di accesso con marchio, quindi esfiltra i dati catturati tramite EmailJS. Dopo il furto delle credenziali, le vittime vengono reindirizzate al sito legittimo di DHL per ridurre i sospetti. L’operazione sembra mirare ai consumatori di tutto il mondo facendo affidamento su un’infrastruttura relativamente leggera.
Indagine
Forcepoint X-Labs ha esaminato l’email di phishing, i link dannosi e il JavaScript responsabile della generazione di un OTP lato client. La loro analisi ha mostrato che il kit di phishing raccoglieva dettagli sul dispositivo e sulla geolocalizzazione prima di trasmettere le informazioni raccolte a una casella postale controllata dall’attaccante tramite EmailJS. I ricercatori sono stati in grado di riprodurre l’intero flusso di attacco in un ambiente sandbox.
Mitigazione
Le organizzazioni dovrebbero bloccare i domini degli mittenti sospetti e prestare attenzione alle discrepanze nell’allineamento DKIM che possono indicare spoofing. I team di sicurezza dovrebbero anche filtrare o bloccare gli URL che risolvono i domini dannosi identificati. Monitorare l’attività insolita di EmailJS con payload anomali può aiutare a individuare i tentativi di furto di credenziali, mentre l’applicazione di MFA sugli account correlati a DHL aggiunge un ulteriore livello di protezione.
Risposta
I difensori dovrebbero notificare agli utenti mirati della campagna di phishing e richiedere la reimpostazione delle password per qualsiasi account compromesso. L’email dannosa dovrebbe essere messa in quarantena e i domini correlati dovrebbero essere bloccati a livello di gateway email e web. Le regole di rilevamento dovrebbero anche essere aggiornate per identificare i pattern degli URL osservati e il metodo di esfiltrazione basato su EmailJS.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[“<b>Azione</b> – <b>T1566 Phishing</b><br/><b>Descrizione</b>: Inviare email malevole che sembrano legittime per attirare le vittime.<br/><b>Sottotecnica</b>: Spoofing email (T1672)”] class phishing_email action fake_otp_page[“<b>Azione</b> – <b>T1656 Impersonificazione</b> e <b>T1001.003 Impersonificazione del Protocollo</b><br/><b>Descrizione</b>: Ospitare una pagina falsa di password monouso che imita il servizio target.”] class fake_otp_page action gather_email[“<b>Tecnica</b> – <b>T1589 Raccolta di Informazioni sull’Identità della Vittima</b><br/><b>Descrizione</b>: Acquisire l’indirizzo email della vittima dalla pagina falsa.”] class gather_email technique browser_discovery[“<b>Tecnica</b> – <b>T1217 Scoperta delle Informazioni del Browser</b> e <b>T1596.005 Ricerca in Database Tecnici Aperti</b><br/><b>Descrizione</b>: Enumerare dettagli del browser, dispositivo e sistema operativo dell’ambiente della vittima.”] class browser_discovery technique credential_harvest[“<b>Azione</b> – <b>T1056.003 Cattura tramite Portale Web</b><br/><b>Descrizione</b>: Reindirizzare la vittima a un portale web di raccolta credenziali.”] class credential_harvest action exfil_emailjs[“<b>Tecnica</b> – <b>T1114 Raccolta Email</b> e <b>T1102.002 Comunicazione Bidirezionale tramite Servizio Web</b><br/><b>Descrizione</b>: Utilizzare EmailJS per esfiltrare credenziali e dati di sessione.”] class exfil_emailjs technique legit_redirect[“<b>Azione</b> – Reindirizzare la vittima al sito legittimo DHL dopo l’esfiltrazione dei dati.”] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
Flusso di attacco
Rilevazioni
## Esecuzione della simulazione
Prerequisito: Il controllo preventivo Telemetry & Baseline deve essere superato.
Motivazione: Questa sezione delinea l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il resoconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’attacco e comandi:
L’avversario, mirato a raccogliere credenziali DHL, simula il
cupelva.comdominio (un noto sosia) e crea un’email con la medesima linea di oggetto utilizzata nelle campagne recenti. Inviando questa email tramite un server SMTP esterno compromesso, il messaggio raggiunge le caselle di posta Exchange, producendo log di trasporto che corrispondono ai criteri della regola. -
Script del test di regressione:
# Email di phishing simulata – dovrebbe attivare la regola di rilevamento $smtpServer = "smtp.malicious-host.com" # server compromesso esterno $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "CONFERMAZIONE SPEDIZIONE DHL RICHIESTA" Body = @" Gentile Cliente,
Una lettera di vettura per la tua recente spedizione richiede una conferma. Clicca il link sottostante per verificare i tuoi dettagli:
https://malicious.example.com/verify
Cordiali saluti, DHL Express “@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Comandi di pulizia:**
powershell
# Rimuovere l'email di test dalla casella di posta della vittima (PowerShell di Exchange)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"CONFERMAZIONE SPEDIZIONE DHL RICHIESTA"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## Valutazione dell’evasione e raccomandazioni di indurimento
| Possibile tecnica di evasione | Probabilità | Impatto sulla regola | Mitigazione |
|---|---|---|---|
| Modificare la linea dell’oggetto (ad es., aggiungere spazi bianchi, cambiare caso) | Alta | La regola manca l’evento | Usare regex insensibile al caso e corrispondenza fuzzy delle parole chiave (subject|contains|regex: "DHLs+SPEDIZIONE.*LETTERA.*RICHIESTA"). |
Usare un diverso dominio simulato (ad es., dhl-express.co) |
Alta | La regola manca l’evento | Incorpora rilevamento DKIM/SPF non riuscito e cerca parole chiave conosciute legate al marchio indipendentemente dal dominio del mittente. |
| Incorpora il link dannoso ma mantiene l’oggetto invariato | Media | La regola si attiva ancora (bene) | Aggiungere un controllo della reputazione degli URL per aumentare la fiducia. |
| Invia come allegato (T1192) anziché nel corpo | Low | Regola inalterata (l’oggetto corrisponde ancora) | Estendi la regola per ispezionare i metadati degli allegati (nomi di file, tipi MIME). |
Raccomandazioni
- Ampliare la valutazione del mittente: Invece di un singolo dominio hard-coded, segnala qualsiasi email che fallisca l’allineamento SPF/DKIM per il marchio “dhl.com” e contenga parole chiave correlate a DHL.
- Corrispondenza fuzzy dell’oggetto: Sostituire la corrispondenza di stringa esatta con un regex che catturi variazioni, differenze di caso e comuni offuscamenti.
- Arricchire con la reputazione degli URL: Analizza il corpo del messaggio per gli URL; segnala se un link risolve un host noto dannoso o utilizza URL accorciati.
- Aggiungere euristiche sugli allegati: Quando la regola etichetta
attack.t1192, incorpora controlli per file o script a doppia estensione comunemente usati nel phishing correlato a DHL.
Implementare questi passaggi di indurimento aumenterà il punteggio di resilienza verso 4–5, riducendo il rischio di evasioni semplici mantenendo un basso tasso di falsi positivi.