sabato, Dicembre 28, 2024

IKEA colpita da un attacco informatico in corso

IKEA sta combattendo un attacco informatico in corso in cui gli attori delle minacce prendono di mira i dipendenti in attacchi di phishing interni utilizzando e-mail a catena di risposta rubate.

Un attacco e-mail a catena di risposta si verifica quando gli autori delle minacce rubano l’e-mail aziendale legittima e quindi rispondono con collegamenti a documenti dannosi che installano malware sui dispositivi dei destinatari.

Poiché le e-mail della catena di risposta sono e-mail legittime di un’azienda e vengono comunemente inviate da account e-mail compromessi e server interni, i destinatari si fideranno dell’e-mail ed è più probabile che aprano i documenti dannosi.

IKEA alle prese con un attacco in corso

Nelle e-mail interne visualizzate da BleepingComputer, IKEA avverte i dipendenti di un attacco informatico di phishing a catena di risposta in corso che prende di mira le cassette postali interne. Queste e-mail vengono inviate anche da altre organizzazioni IKEA e partner commerciali compromessi.

“C’è un attacco informatico in corso che prende di mira le cassette postali di Inter IKEA. Altre organizzazioni, fornitori e partner commerciali IKEA sono stati compromessi dallo stesso attacco e stanno diffondendo ulteriormente e-mail dannose a persone di Inter IKEA”, ha spiegato un’e-mail interna inviata a IKEA dipendenti e visto da BleepingComputer.

“Ciò significa che l’attacco può arrivare via e-mail da qualcuno con cui lavori, da qualsiasi organizzazione esterna, e come risposta a conversazioni già in corso. È quindi difficile da rilevare, per cui ti chiediamo di essere più cauto.”

E-mail interna inviata ai dipendenti IKEA
E-mail interna inviata ai dipendenti IKEA

I team IT di IKEA avvertono i dipendenti che le e-mail della catena di risposta contengono collegamenti con sette cifre alla fine e hanno condiviso un’e-mail di esempio, come mostrato di seguito. Inoltre, ai dipendenti viene detto di non aprire le e-mail, indipendentemente da chi le ha inviate, e di segnalarle immediatamente al reparto IT.

Ai destinatari viene anche detto di comunicare al mittente delle e-mail tramite la chat di Microsoft Teams di segnalare le e-mail.

Esempio di email di phishing inviata ai dipendenti IKEA
Esempio di email di phishing inviata ai dipendenti IKEA

Gli attori delle minacce hanno recentemente iniziato a compromettere i server Microsoft Exchange interni utilizzando le vulnerabilità ProxyShell e ProxyLogin per eseguire attacchi di phishing.

Una volta ottenuto l’accesso a un server, utilizzano i server Microsoft Exchange interni per eseguire attacchi a catena di risposta contro i dipendenti che utilizzano e-mail aziendali rubate.

Poiché le e-mail vengono inviate da server interni compromessi e catene di e-mail esistenti, esiste un livello più elevato di fiducia che le e-mail non siano dannose.

C’è anche la preoccupazione che i destinatari possano rilasciare le e-mail di phishing dannose dalla quarantena, pensando che siano stati catturati nei filtri per errore. Per questo motivo, stanno disabilitando la possibilità per i dipendenti di rilasciare e-mail fino alla risoluzione dell’attacco.

“I nostri filtri e-mail possono identificare alcune delle e-mail dannose e metterle in quarantena. A causa di ciò l’e-mail potrebbe essere una risposta a una conversazione in corso, è facile pensare che il filtro e-mail abbia commesso un errore e abbia rilasciato l’e-mail dalla quarantena. Siamo quindi fino a nuovo avviso disabilitando la possibilità per tutti di rilasciare e-mail dalla quarantena”, ha comunicato IKEA ai dipendenti.

Sebbene IKEA non abbia risposto alle nostre e-mail sull’attacco e non abbia rivelato ai dipendenti se i server interni sono stati compromessi, sembra che stiano soffrendo di un attacco simile.

Attacco utilizzato per diffondere Emotet o Qbot trojan

Quando si visitano questi URL, un browser verrà reindirizzato a un download chiamato “charts.zip” che contiene un documento Excel dannoso. Questo allegato indica ai destinatari di fare clic sui pulsanti “Abilita contenuto” o “Abilita modifica” per visualizzarlo correttamente, come mostrato di seguito.

Allegato Excel utilizzato nella campagna di phishing
Allegato Excel utilizzato nella campagna di phishing

Dopo aver fatto clic su questi pulsanti, verranno eseguite macro dannose che scaricano file denominati “besta.ocx”, “bestb.ocx” e “bestc.ocx” da un sito remoto e li salvano nella cartella C:\Datop.

Questi file OCX vengono rinominati DLL e vengono eseguiti utilizzando il comando regsvr32.exe per installare il payload del malware.

Le campagne che utilizzano questo metodo  sono state viste  installando il trojan Qbot (noto anche come QakBot e Quakbot) e possibilmente Emotet sulla base di un  invio di VirusTotal.

I trojan Qbot ed Emotet portano entrambi a un’ulteriore compromissione della rete e, infine, alla distribuzione di ransomware su una rete violata.

A causa della gravità di queste infezioni e della probabile compromissione dei propri server Microsoft Exchange, IKEA sta trattando questo incidente di sicurezza come un attacco informatico significativo che potrebbe potenzialmente portare a un attacco molto più distruttivo

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: