Oltre il Campo di Login: Il Tradecraft del Phishing per cui gli Utenti non Sono Pronti
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il phishing moderno è andato ben oltre il semplice furto di credenziali e ora include tecniche avanzate come ClickFix, Browser-in-the-Browser, phishing del consenso OAuth, phishing dei codici dispositivo e sovrapposizioni di videoconferenze false. Questi approcci eludono l’addestramento tradizionale in materia di consapevolezza sfruttando strumenti di sistema affidabili, piattaforme cloud legittime e comportamenti comuni di risoluzione dei problemi degli utenti. Invece di rubare solo le password, gli attaccanti mirano sempre più a bypassare l’autenticazione multifattoriale convincendo gli utenti ad approvare sessioni malevole o a eseguire comandi attraverso utilità terminali native.
Investigazione
Huntress ha osservato questi cambiamenti tattici attraverso i suoi servizi di EDR e ITDR gestiti, identificando un ampio spostamento verso abusi nativi del browser e scorciatoie di ingegneria sociale. Il team ha notato un netto aumento del phishing dei codici dispositivo e ha esaminato come gli attacchi in stile ClickFix sfruttano la memoria muscolare degli utenti per innescare l’esecuzione di comandi malevoli. La ricerca mostra anche come gli attaccanti sfruttano la fiducia che gli utenti ripongono in piattaforme legittime come Microsoft e Google per ottenere accessi non autorizzati.
Mitigazione
Le organizzazioni dovrebbero andare oltre i programmi di sensibilizzazione statica alla sicurezza e adottare simulazioni interattive che riflettano l’attuale tecniche di phishing. Gli utenti dovrebbero essere formati per individuare comportamenti sospetti del browser, comprese finestre false che non possono essere trascinate al di fuori del frame del browser, ed evitare di inserire codici di autorizzazione del dispositivo che non hanno avviato loro stessi. Controlli ITDR e EDR solidi sono anche essenziali per rilevare concessioni OAuth non autorizzate e attività sospette di esecuzione di comandi.
Risposta
Quando viene rilevata un’esecuzione di comandi sospetta, come Win+R seguito da un’attività terminale inaspettata, i rispondenti dovrebbero isolare immediatamente il punto finale. In caso di sospetta compromissione OAuth o dei codici dispositivo, gli amministratori dovrebbero revocare tutte le sessioni attive e i token di aggiornamento per l’account interessato e riesaminare l’attività di consenso delle applicazioni recenti. I log di controllo devono essere controllati anche per eventi insoliti di Microsoft Entra ID e segni di installazione non autorizzata di strumenti RMM.
Flusso di Attacco
Rilevamenti
Download eseguibile sospetto (via proxy)
Visualizza
Possibili schemi di attacco ClickFix nella riga di comando (via cmdline)
Visualizza
Attacco di phishing ConsentFix mirato al furto del codice di autorizzazione OAuth di Azure AD (Log attività di Azure)
Visualizza
Rilevamento di attività sospette basato su tecniche di attacco ClickFix (Creazione di processi Windows)
Visualizza
Esecuzione della simulazione
Prerequisito: Il controllo preliminare di telemetria e baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione devono riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’attacco e comandi: L’avversario utilizza un falso prompt “CAPTCHA” o “Aggiornamento del browser” per ingannare l’utente. Il prompt istruisce l’utente a premere
Win+R, quindiCtrl+V, quindiInvioper “verificare che è umano.” L’utente inconsapevolmente incolla un comando malevolo che crea un file chiamatoCAPTCHA_verification.txte quindi esegue un comando shell contenente le stringhe di istruzione per imitare l’input “incollato” dell’utente. Questa simulazione creerà un file chiamato “CAPTCHA_file.txt” e quindi eseguirà un comando contenente le stringhe “Ctrl+V” e “Enter” per soddisfare ilselezione1andselezione2condizioni della regola. -
Script di test di regressione:
# Simulazione dei TTP di ClickFix # 1. Creare un file con 'CAPTCHA' nel nome per attivare la selezione2 (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. Eseguire un processo con 'Ctrl+V' e 'Enter' nella riga di comando per attivare la selezione1 (EventID 1) # Usiamo cmd.exe come processo di destinazione. Start-Process cmd.exe -ArgumentList "/c echo L'utente ha premuto Ctrl+V ed Enter > $filePath" -
Comandi di pulizia:
# Pulire gli artefatti simulati Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue