I ricercatori della sicurezza informatica hanno messo in guardia da una nuova campagna di phishing delle lance che utilizza un legittimo strumento di accesso remoto chiamato Netbird per indirizzare i principali ufficiali finanziari (CFO) e i dirigenti finanziari presso banche, compagnie energetiche, assicuratori e società di investimento in Europa, Africa, Canada, Medio Oriente e Asia meridionale.
“In quella che sembra essere un’operazione di phishing a più stadi, gli aggressori miravano a distribuire NetBird, uno strumento di accesso remoto basato su guardia by way of cavo sul pc della vittima”, il ricercatore di Trellix Srini Seethapathy disse in un’analisi.
L’attività, rilevata per la prima volta dalla Cybersecurity Firm a metà maggio 2025, non è stata attribuita a un attore o gruppo di minaccia noto.
Il punto di partenza dell’attacco è un’e -mail di phishing che impersona un reclutatore di Rothschild & Co. e afferma di offrire una “opportunità strategica” con l’azienda. L’e-mail è progettata per attirare i destinatari advert aprire un presunto allegato PDF che, in realtà, è un collegamento di phishing che li reindirizza a un URL ospitato dalle app Firebase.
La cosa notevole dell’infezione è che l’URL di reindirizzamento reale è memorizzato nella pagina in forma crittografata ed è accessibile solo dopo che la vittima risolve un controllo di verifica CAPTCHA, portando alla fantastic al obtain di un archivio con zip.
“La risoluzione del puzzle esegue una funzione (JavaScript) che la decrittica con una chiave codificata e reindirizza l’utente al hyperlink decrittografato”, ha detto Seethapathy. “Gli aggressori si appoggiano sempre di più a queste porte captcha personalizzate, sperando di far scivolare le difese che già flagano i siti di phishing protetti da CloudFlare Turnstile o Google Recaptcha.”
Presente all’interno dell’archivio è uno script di Visible Fundamental (VBScript) che è responsabile del recupero di un VBScript in fase successiva da un server esterno e dello avvio tramite “WScript.exe”. Questo downloader VBScript del secondo stadio prende quindi un altro payload dallo stesso server, lo rinomina in “Trm.Zip”, ed estrae due file MSI da esso: Netbird e OpenSSH.
L’ultima fase prevede l’installazione dei due programmi sull’host infetto, la creazione di un account locale nascosto, che consentono l’accesso remoto desktop e la persistenza di NetBird tramite attività programmate in modo story da lanciare automaticamente sul riavvio del sistema. Il malware rimuove inoltre eventuali scorciatoie desktop Netbird per garantire che il compromesso non venga rilevato dalla vittima.
Trellix ha affermato di aver identificato un altro URL di reindirizzamento che è attivo per quasi un anno e serve lo stesso carico utile VBScript, indicando che la campagna potrebbe essere in circolazione da un po ‘di tempo.
I risultati mostrano ancora una volta come sono gli avversari sempre più affidamento Su applicazioni legittime di accesso remoto come Connectwise ScreenConnect, Atera, Splashtop, FleetDeck e Logmein si risolvono per stabilire la persistenza e usarlo per scavare nella rete della vittima, eliminando contemporaneamente il rilevamento.
“Questo attacco non è la tua tipica truffa di phishing”, ha detto Seethapathy. “È ben realizzato, mirato, sottile e progettato per far passare la tecnologia e le persone. È un attacco a più stadi in cui l’avversario utilizza tecniche di ingegneria sociale e di evasione di difesa per creare e mantenere un accesso persistente al sistema delle vittime.”
La divulgazione coincide con la scoperta di varie campagne di ingegneria sociale basata su e -mail in natura –
- Attacca questo abuso Un dominio affidabile associato a un noto supplier di servizi Web giapponese (ISP) per inviare messaggi di phishing dall’indirizzo e-mail “Firm@nifty (.) com” nel tentativo di ottenere controlli di autenticazione e-mail e credenziali di raccolta
- Attacca questo abuso La piattaforma di sviluppo di Script di Google Apps per ospitare pagine di phishing che sembrano legittime e rubano le credenziali di accesso Microsoft utilizzando le esche e-mail a tema fattura
- Attacca questo imitare Una fattura a pagamento di Apple per rubare dati utente sensibili, inclusi i dettagli della carta di credito e i dettagli dell’account Mail Yahoo
- Attacca questo abuso Onces Workspaces per ospitare pagine di phishing che inducono gli utenti a fare clic su hyperlink che portano le vittime in una falsa pagina di accesso di Microsoft sotto il pretesto di visualizzare un documento condiviso ed esfiltra le credenziali tramite un bot Telegram
- Attacca questo impresa Un difetto di sicurezza di un anno in Microsoft Workplace (CVE-2017-11882) per consegnare la variante di malware di Formbook nascosta in un file PNG falso e rubare dati sensibili da host compromessi
I servizi Phaas abbassano la barra
I risultati arrivano anche mentre Trustwave ha dettagliato le connessioni operative tra Magnate E Papà (AKA Phoenix) Package di phishing, evidenziando le loro sovrapposizioni infrastrutturali e l’uso di un’infrastruttura di phishing centralizzata. Dadsec è opera di un attore di minaccia tracciato da Microsoft sotto il moniker Storm-1575.
“L’infrastruttura utilizzata da DadSec è anche collegata a una nuova campagna che sfrutta la piattaforma di phishing-as-a-service” Tycoon 2FA “, ricercatori della fiducia Cris Tomboc e King Orande disse. “L’indagine sul package di phishing Tycoon2FA rivela come gli avversari continuano a perfezionare ed espandere le loro tattiche all’interno dell’ecosistema di phishing-as-a-service (PHAAS).”
 |
| Funzionamento di Tycoon 2FA Phaas |
La crescente popolarità dei servizi Phaas è evidenziata dall’emergere di un nuovo package di lingua cinese “plug-and-play” soprannominata Haozi che si stima che abbia facilitato oltre $ 280.000 di transazioni criminali negli ultimi cinque mesi vendendo pubblicità a servizi di terza parte. Opera su base di abbonamento per $ 2.000 all’anno.
“A differenza dei package di phishing legacy che richiedono agli aggressori di configurare manualmente script o infrastrutture, Haozi offre un pannello Internet elegante e rivolto al pubblico”, Netcraft disse. “Una volta che un utente malintenzionato acquista un server e inserisce le sue credenziali nel pannello, il software program di phishing viene automaticamente impostato, senza necessità di eseguire un singolo comando.”
“Questa configurazione senza attrito contrasta con altri strumenti PHAAS come l’Ai-abilitato Darcula Suite, dove è ancora necessario un utilizzo minimo della linea di comando. “
Oltre a supportare un panel di amministrazione in cui gli utenti possono gestire tutte le loro campagne in un unico posto, Haozi è stato scoperto che offre spazio pubblicitario, fungendo da intermediario per collegare gli acquirenti di package di phishing con servizi di terze parti, come quelli relativi ai fornitori di SMS.
 |
| Dashboard di phishing Haozi |
Un altro aspetto che distingue Haozi dagli altri package è un canale Telegram post-vendita dedicato (@yuanbaoaichiyu) per aiutare i clienti a debug di debug e ottimizzare le loro campagne, posizionandolo come un’opzione interessante per aspiranti criminali informatici che non hanno esperienze tecniche.
“Man mano che i workforce di sicurezza aziendale diventano più efficaci nel rilevare e affrontare i tentativi di intrusione, gli aggressori stanno distribuendo truffe di ingegneria sociale e phishing, tattiche che non richiedono violazione di un perimetro indurito”, ha affermato il ricercatore di Netcraft Harry Everett.
“Le offerte di Phaas abbassano le campagne del pavimento e della scala delle competenze attraverso l’automazione e il supporto della comunità. Questi nuovi modelli funzionano più come aziende SaaS rispetto ai gruppi di hacking del mercato nero, completi di prezzi in abbonamento, servizio clienti e aggiornamenti del prodotto.”
Microsoft, in una consulenza pubblicata la scorsa settimana, ha ulteriormente rivelato come le piattaforme PHAAS stanno guidando sempre più il phishing delle credenziali avversario-in-the-middle (AITM) come l’adozione di as soon as di autenticazione multi-factor (MFA).
Alcune delle altre tecniche includono Phishing del codice del dispositivo; Oauth Consent Phishing; Laddove gli attori delle minacce impiegano il protocollo OPen Authorization (OAuth) e inviano e-mail con un hyperlink di consenso dannoso per un’applicazione di terze parti; Il dispositivo si unisce a Phishing, in cui gli attori delle minacce utilizzano un collegamento di phishing per ingannare gli obiettivi nell’autorizzazione del dominio-giunzione di un dispositivo controllato da attori.
Il produttore di Home windows ha dichiarato di aver osservato sospetti attori delle minacce legate alla russa che impiegano messaggi di applicazione di terze parti o e-mail che fanno riferimento agli inviti della riunione imminenti per fornire un hyperlink dannoso contenente un codice di autorizzazione valido. La tecnica di phishing del dispositivo è stato Primo documentato di volessità nell’aprile 2025.
“Mentre sia gli utenti finali che le misure di sicurezza automatizzate sono diventate più capaci nell’identificare gli attaccamenti e i collegamenti di phishing dannosi, gli attori delle minacce inspire continuano a fare affidamento sullo sfruttamento del comportamento umano con esche convincenti”, Igor Sakhnov, vicepresidente aziendale e vice Ciso di Id presso Microsoft, disse.
“Mentre questi attacchi dipendono dall’ingannare gli utenti, la formazione degli utenti e la consapevolezza delle tecniche di ingegneria sociale comunemente identificate sono la chiave per difendersi contro di loro.”
