Un'analisi approfondita di una campagna di phishing nel settore alberghiero mostra la portata globale di questa minaccia
Editoriale e commenti aggiuntivi di Tricia Howard
Analisi riassuntiva
I ricercatori di Akamai hanno continuato ad esaminare una sofisticata campagna di phishing attiva che ha preso di mira i siti di vari alberghi e i loro clienti.
La campagna è una minaccia globale poiché è stata osservata una notevole quantità di traffico DNS in Svizzera, Hong Kong e Canada. Inoltre, abbiamo registrato un elevatissimo numero di query in Italia, Argentina e Singapore.
Anche se la campagna era stata inizialmente concepita per essere attiva solo a partire da settembre 2023, i nomi dei domini, in realtà, sono stati registrati e sottoposti a query già a partire da giugno 2023.
Introduzione
Nonostante vari anni di divulgazione e discussione sull'argomento, il phishing rimane la principale minaccia informatica sia per le aziende che per i singoli utenti. La crescente complessità e l'elevata precisione nella scelta dei bersagli presi di mira che caratterizzano queste campagne sono sconcertanti. Abbiamo notato la presenza di queste caratteristiche nell' infrastruttura su cui si basano una truffa relativa agli acquisti natalizi, truffe basate sulle criptovalutee una campagna di attacchi sferrati contro il settore alberghiero, che è stata scoperta a settembre 2023.
Dopo la nostra iniziale analisi del secondo livello di questa campagna di attacchi contro il settore alberghiero, ci è apparso chiaro che dovevamo approfondire meglio la questione.
La nostra esclusiva visione del panorama online
Akamai osserva il traffico delle query DNS su una larghissima scala in un elevato numero di paesi a livello globale. Molti dei nostri clienti che utilizzano i resolver DNS di Akamai scelgono di condividere con noi i registri anonimizzati, che poi vengono da noi utilizzati per eseguire le operazioni di analisi e ricerca sulle minacce, e di prendere le misure appropriate per proteggere i loro utenti finali. Questa esclusiva visione del panorama online ci offre la base per approfondire ulteriormente questa campagna di phishing.
In questo blog, intendiamo stilare un'analisi approfondita ed esaminare le query e il traffico DNS, insieme ai nomi di dominio completi (FQDN), che sono associati agli IOC scoperti come parte della campagna.
Cluster dei nomi di dominio
L'analisi dei dati più approfondita inizia con la nostra solida tabella dei dati FQDN interni, in cui vengono elencati tutti i nomi FQDN osservati nel traffico DNS da parte del nostro team. Questa tabella fornisce ulteriore contesto relativamente ai nomi FQDN, come informazioni sugli indicatori di data/ora e ulteriori metadati. In tal modo, possiamo condurre un'analisi più approfondita e accurata di contenuti specifici, come nel caso di questa campagna.
Alla ricerca degli schemi
Iniziamo la nostra analisi con il primo IP scoperto dai nostri ricercatori sulle minacce: 91.215.40[.]30, che appartiene all' ASN AS57724, probabilmente di origine russa.
Poiché sappiamo che la campagna è attiva almeno fino dai primi di settembre 2023, innanzitutto filtriamo questa tabella per i nomi FQDN che sono diventati 91.215.40[.]30 nei mesi scorsi (Tabella 1).
FQDN |
Cluster |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
Tabella 1. Esempio di nomi FQDN che sono diventati 91.215.40[.]30
Anche se alcuni di questi nomi FQDN seguono delle tecniche di combosquatting più tipiche, come l'aggiunta della parola chiave "prenotazione", altri nomi sono per noi incomprensibili, come "wakkofkznmartyxa3244",
Come si può vedere nella Tabella 1, nei nomi FQDN possiamo distinguere alcuni modelli visivi abbastanza chiari. Ora, possiamo raggruppare i nomi FQDN in cluster sulla base della tecnica di combosquatting utilizzata o, nel caso di nomi incomprensibili, sulla base di un esempio di testo dei nomi FQDN. Abbiamo identificato cinque cluster: wakk, dashed, .id, .com-id, e .com.id.
Utilizzo dei modelli
Una volta identificati i cluster, abbiamo progettato i modelli regex per analizzarli ulteriormente. I modelli ci hanno consentito di filtrare i dati e produrre statistiche aggregate per ciascun cluster. Abbiamo anche riunito i dati WHOIS relativi ai domini nei cluster (Tabella 2).
Cluster. |
Dimensioni cluster |
Popolarità |
Data prima registrazione |
Data prima visualizzazione |
Data ultima visualizzazione |
Esempio di sottodominio |
Esempio di dominio |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
14-06-2023 |
15-06-2023 |
still going |
service10. |
wakkofkznmartyxa3244[.]site |
dashed |
10+ |
1x |
16-07-2023 |
18-07-2023 |
03-09-2023 |
booking. |
reservation-accept[.]info |
.id |
10+ |
1x |
17-08-2023 |
18-08-2023 |
still going |
booking. |
id11853502[.]date |
.com-id |
10+ |
1x |
06-09-2023 |
07-09-2023 |
still going |
avito.sber. |
com-id02349[.]info |
.com.id |
10+ |
1x |
06-09-2023 |
08-09-2023 |
still going |
booking.com. |
id60157261[.]date |
Tabella 2. Statistiche aggregate per i cluster FQDN
Per comprendere la Tabella 2, dobbiamo definire ciascuna colonna
Dimensioni cluster: numero dei nomi di dominio visualizzati in ciascun cluster, che (tranne il cluster "wakk") contiene dozzine di diversi nomi di dominio tutti simili e dello stesso modello.
Popolarità: numero relativo di query visualizzate in ciascun cluster
Data prima registrazione: data della registrazione meno recente di tutti i domini nel cluster in base ai dati WHOIS
Data prima visualizzazione: data in cui abbiamo osservato la prima query DNS a qualsiasi dominio nel cluster in base ai nostri registri interni delle query DNS. Abbiamo notato che ciascuno dei domini è risultato visibile solo 1 o 2 giorni dopo la prima registrazione.
Data ultima visualizzazione: data in cui abbiamo visto per l'ultima volta il cluster visualizzato nel traffico DNS
Esempio di sottodominio: esempio di un sottodominio nel cluster sottoposto a query.
Esempio di dominio: nome di dominio casuale nel cluster
Cosa dicono i dati
Ciascuno dei domini è risultato visibile solo 1 o 2 giorni dopo la prima registrazione. Il primo dominio da noi osservato è stato il cluster "wakk", che è stato registrato a giugno 2023.
Il dominio "wakk" ha fatto registrare finora il maggior numero di query DNS, circa 2,5 volte in più rispetto alle query DNS ricevute da tutti gli altri quattro cluster messi insieme. Questo divario può indicare che il dominio venga usato a scopo di reindirizzamento o come una specie di hub.
Considerando che questa campagna viene sferrata a vari livelli (il primo è l'hotel, il secondo è rappresentato dagli ospiti dell'hotel), è fastidioso notare che tutti gli altri quattro cluster sono ancora attivi al momento della pubblicazione di questo blog, ad eccezione del cluster "dashed". Questo particolare cluster ha presentato le prime date di registrazione, ma non abbiamo più registrato query a partire dal 3 settembre 2023.
Eliminazione del cluster che crea rischi maggiori
Da questi dati, possiamo dedurre che il cluster "dashed" è stato il primo ad essere usato, ma poi il criminale ha deciso di eliminarlo e di continuare con gli altri tre cluster. Il fatto che il traffico verso il cluster "dashed" si sia arrestato il 3 settembre e che i primi nomi di dominio nei cluster .com-id e .com.id siano stati registrati il 6 settembre aggiunge credibilità a questa idea. Il cluster "dashed" ha anche subito la rivisitazione più "tradizionale" del dominio truffa, che ha aumentato il rischio di rilevamento, tra l'altro, da parte degli addetti all'identificazione delle minacce.
Mentre il cluster è inattivo, le query continuano ad arrivare tramite i cluster .id, .com-id e .com.id.
Il cluster "dashed", attualmente, usa due o tre parole provenienti dai seguenti dizionari connessi tramite un trattino e utilizza i domini di primo livello (TLD) .com, .date, .info, .cloud e .site:
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
Gli altri tre cluster possono essere acquisiti approssimativamente con i seguenti modelli regex applicati ai FQDN, anche se probabilmente conviene filtrare ulteriormente i risultati mediante un intervallo di indirizzi IP.
- .id cluster
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ .com-id cluster
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- .com.id cluster
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
Espansione ad altri indirizzi IP
L'analisi riportata sempre si è focalizzata in modo specifico sui FQDN che diventano 91.215.40[.]30. Tuttavia, è possibile (se non probabile) che in questa campagna siano coinvolti altri indirizzi IP. Tramite i modelli regex che abbiamo progettato per acquisire i diversi cluster, abbiamo sottoposto a query la tabella dei dati FQDN non elaborati per verificare se siano coinvolti altri indirizzi IP.
Abbiamo individuato cluster identici che sono diventati 91.215.40[.]22, che è parte dello stesso ASN di 91.215.40[.]30. Questa analisi ha incluso l'indirizzo IP nell' elenco IOC del nostro post originale.
Una minaccia globale
Da un punto di vista locale, possiamo notare che la maggior parte del traffico DNS si origina dalla Svizzera, da Hong Kong e dal Canada. Inoltre, abbiamo registrato un elevatissimo numero di query in Italia, Argentina e Singapore. La natura globale di questa campagna di phishing è un'altra dimostrazione dell'elaborata infrastruttura che costituisce queste truffe. Inoltre, ciò rende questa campagna più difficile da monitorare poiché non vengono presi di mira specifici paesi o aree geografiche.
Anche se una parte del traffico DNS è specifico di un'area geografica, non abbiamo osservato ccTLD (Country-Code Top-Level Domain), come .ru, ma solo TLD generici, come .com, .top, .date, .email, .info, .site e .cloud.
A livello del sottodominio, abbiamo osservato vari nomi di brand utilizzati in modo improprio. A volte, il dominio TLD del brand è:
Il sottodominio di primo livello, come in booking.com.id60157261[.]date
L'inizio del nome del dominio, come in booking.com-id2435142[.]info
Mancante, come in booking.id17825117[.]date
Possiamo riassumere questi tre metodi come combinazioni delle tecniche di levelsquatting e combosquatting .
Oltre a booking.com, abbiamo osservato vari brand visti comunemente in Russia, come avito, sber, sberbank e yandex. Si tratta di un dato interessante perché l'utilizzo di questi brand comuni in Russia potrebbe solo avere senso se la campagna di attacchi fosse indirizzata contro utenti russi, a meno che non ci sia qui una qualche manovra psicologica inversa, per cui la falsità è esattamente ciò che i criminali ci vogliono far credere.
Analisi WHOIS
Esaminiamo ora alcuni dati WHOIS relativi ai nomi di dominio nei cluster individuati.
Abbiamo rilevato che il registrar della maggior parte dei domini è denominato NameSilo. Il contatto più comune elencato nei dati WHOIS di questi domini è PrivacyGuardian. PrivacyGuardian fa parte di NameSilo. Sembra che i criminali abbiano registrato questi nomi di dominio tramite NameSilo per poi usare la funzione PrivacyGuardian allo scopo di mantenere nascosta la loro identità.
Abbiamo anche rilevato nomi di dominio registrati tramite altri registrar, tra cui, non sorprende come la maggior parte dei campi relativi alle informazioni di contatto WHOIS siano vuoti o costituiti da nomi casuali.
Inoltre, abbiamo individuato vari nomi di dominio all'interno di ciascun cluster che hanno ricevuto query DNS, ma (secondo i dati WHOIS) non sono mai stati effettivamente registrati. Sembra che il malware installato sui dispositivi dei dipendenti dell'hotel stia cercando di raggiungere indirizzi C2 (Command-and-Control) e, contemporaneamente, una serie di domini fino a stabilire una connessione.
Conclusione
L'esclusivo utilizzo dei dati DNS e WHOIS ci ha aiutato ad ottenere informazioni preziose su una campagna di phishing attualmente attiva e di portata globale, che coinvolge cinque diversi cluster di nomi di dominio disseminati in sette TLD. Abbiamo identificato i modelli da poter usare per acquisire questi cluster. Tramite questi modelli, siamo riusciti a confermare che in questa campagna sono attualmente coinvolti due indirizzi IP: 91.215.40[.]30 e 91.215.40[.]22.
Abbiamo notato che alcune tattiche ingannevoli della campagna richiedono l'utilizzo di tecniche di cybersquatting, come levelsquatting e combosquatting. Inoltre, abbiamo scoperto che i criminali potrebbero tentare di far sembrare che solo gli utenti russi siano presi di mira mediante l'utilizzo di un gran numero di brand russi all'interno di questa campagna.
Tenetevi al passo
Per ulteriori ricerche sulla sicurezza in tempo reale, seguiteci su Twitter.
