Microsoft ha interrotto una campagna di spear phishing attuata da cybercriminali iraniani appartenenti al gruppo Bohrium. Un giudice della Virginia ha autorizzato l’azienda di Redmond a prendere il controllo dell’infrastruttura, in quanto la gang ha effettuato numerosi attacchi contro specifici utenti in India, Medio Oriente e Stati Uniti.
Bohrium affondato da Microsoft
Lo spear phishing è una versione più avanzata del phishing, in quanto le email vengono inviate solo a utenti selezionati. Le vittime preferite del gruppo Bohrium sono le agenzie governative e le aziende che operano soprattutto nei settori tech, trasporti e istruzione. Nella denuncia depositata presso il tribunale della Virginia è scritto che i cybercriminali iraniani hanno effettuato l’accesso ai computer di Microsoft e dei suoi clienti.
Una delle tecniche utilizzate per ingannare le vittime prevede la creazione di profili fake sui social media. I gestori, che spesso si fingono responsabili delle risorse umane, ottengono i dati degli utenti con l’inganno. Successivamente inviano email con link ai malware che infettano i computer e rubano informazioni sensibili.
Gli esperti del Microsoft Threat Intelligence Center hanno individuato 41 domini usati per distribuire i malware, prendendo quindi il controllo dell’infrastruttura C2C (command and control). L’azienda di Redmond non ha fornito riferimenti temporali per la campagna di spear phishing, ma alcuni domini erano stati già utilizzati per distribuire malware nel 2017.
Questo tipo di attacco informatico non è molto sofisticato, in quanto richiede l’intervento dell’utente (il clic sul link). Teoricamente è piuttosto facile individuare il pericolo. È comunque consigliata l’installazione di una soluzione di sicurezza efficace per una maggiore protezione.