Nuova campagna spam utilizza iCloud Calendar

 

Proto: N011116. 

Con la presente Yoroi desidera comunicarLe che negli ultimi giorni si sta sviluppando un nuovo sistema di diffusione di spam che utilizza il calendario offerto dai servizi iCloud di Apple. L’attacco consiste nel riempire il calendario della vittima di inviti ad eventi che contengono nella descrizione link e messaggi pubblicitari.


Figura 1: Esempio di calendario infetto
Figura 2: Esempio di evento contenente il messaggio di spam

Gli obbiettivi di questo tipo di campagna sono principalmente due:

1. Portare l’utente vittima dell’attacco a cliccare sui link contenuti

L’utente cliccando i link contenuti negli eventi viene reindirizzato verso host che contengono pagine opportunamente create che possono portare a diversi tipi di attacchi quali phishing, click baiting, exploiting, etc…

Figura 3: Esempio di pagina pubblicitaria legata ai link contenuti negli eventi
2. Verificare la validità degli indirizzi email utilizzati

Parte fondamentale delle campagne email malevole è quella di verificare che il bacino di indirizzi utilizzato sia valido in modo da avere la certezza di recapitare i messaggi al maggior numero possibile di utenti realmente esistenti.

Al momento non sono note tecniche per prevenire questo tipo di spam, la soluzione per le vittime colpite dall’attacco è quella di cancellare e ricreare il calendario, così facendo però vengono persi tutti gli eventi precedentemente creati. Cancellare il calendario garantisce anche che non vengano inviate le notifiche sugli inviti ai singoli eventi.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index