Alla fine di gennaio 2025, un amministratore di un Managed Service Provider (MSP) ha ricevuto un’e-mail di phishing ben confezionata che sembrava contenere un avviso di autenticazione per il suo strumento di monitoraggio e gestione remota (RMM) ScreenConnect. L’e-mail ha permesso agli attori del ransomware Qilin di ottenere le credenziali dell’amministratore e di lanciare attacchi ransomware ai clienti dell’MSP.
Il team di threat intelligence di Sophos MDR valuta con elevata affidabilità che questo incidente possa essere attribuito a un affiliato di ransomware la cui attività è tracciata da Sophos come STAC4365. L’attacco ha utilizzato infrastrutture, modelli di denominazione dei domini, tecniche, strumenti e pratiche simili a quelli impiegati in altre campagne di phishing individuate dall’unità di intelligence sui rischi di Sophos MDR e risalenti alla fine del 2022. Quegli attacchi hanno sfruttato siti di phishing creati con il framework open-source Evilginx per attacchi “adversary-in-the-middle” al fine di raccogliere credenziali e cookie di sessione e aggirare l’autenticazione a più fattori (MFA).
In questo caso, come in altri legati a questo cluster di minacce, gli aggressori hanno utilizzato domini ScreenConnect falsi come proxy al processo di login effettivo di ScreenConnect. Dopo aver fatto clic sul link di accesso contenuto nell’e-mail per verificare l’autenticazione, l’amministratore è stato reindirizzato a un sito di phishing dannoso, cloud.screenconnect[.]com.ms, che fingeva di essere la pagina di accesso legittima. Una volta inserite le proprie credenziali nel falso sito ScreenConnect, gli aggressori sono stati in grado di intercettare tali input. Sophos ritiene che il falso sito di ScreenConnect abbia inviato gli input al sito legittimo per verificare le credenziali e intercettare la password monouso a tempo (TOTP) trasmessa da ScreenConnect all’amministratore via e-mail.
Leggi tutto l’articolo.
