Negli ultimi tempi, la sicurezza informatica è sempre più minacciata da campagne di phishing altamente mirate che sfruttano strumenti legittimi per colpire aziende e professionisti. Un esempio recente riguarda una sofisticata campagna rivolta a Chief Financial Officer e manager finanziari di importanti settori come banche, assicurazioni, energia e investimenti, distribuiti tra Europa, Africa, Canada, Medio Oriente e Sud Asia. Gli autori dell’attacco utilizzano come vettore di infezione lo strumento remoto NetBird, normalmente impiegato per scopi legittimi di accesso remoto ma qui trasformato in un’arma per ottenere il controllo dei dispositivi delle vittime.

L’attacco prende il via da una email di phishing che si finge un’offerta di lavoro da parte di un noto gruppo finanziario. Il messaggio invita la vittima ad aprire un presunto PDF allegato che, in realtà, è un collegamento a una pagina web ospitata su Firebase. Solo dopo aver superato un CAPTCHA, l’utente viene reindirizzato verso un archivio ZIP contenente uno script Visual Basic (VBScript). Questo script scarica ulteriore codice malevolo che installa sia NetBird sia OpenSSH sul computer della vittima, crea un account nascosto per l’accesso remoto e configura attività pianificate per mantenere la persistenza anche dopo il riavvio del sistema.

Particolarmente insidioso è il fatto che il malware rimuove ogni traccia visibile dell’app NetBird, rendendo difficile per l’utente accorgersi della compromissione. Analisi approfondite hanno rilevato che alcuni server di reindirizzamento utilizzati nell’attacco sono attivi da oltre un anno, suggerendo che campagne simili siano in corso da tempo.

Attacchi con strumenti legittimi e Phishing-as-a-Service

Questa strategia si inserisce in un quadro più ampio di attacchi che sfruttano strumenti di accesso remoto legittimi come ConnectWise, Atera, Splashtop e LogMeIn per eludere i controlli di sicurezza. Parallelamente, cresce il fenomeno del Phishing-as-a-Service (PhaaS), che abbassa drasticamente la soglia tecnica richiesta ai cybercriminali. Kit come Haozi, ad esempio, offrono pannelli web intuitivi, supporto tramite Telegram e la possibilità di gestire campagne di phishing in modo completamente automatizzato, per cifre intorno ai 2000 dollari annui.

Queste nuove tendenze, unite a tecniche come phishing tramite OAuth, device join phishing e sfruttamento di vulnerabilità note, mettono in difficoltà anche i sistemi di autenticazione multifattore. Per questo motivo è fondamentale investire nella formazione del personale, nella sensibilizzazione sui rischi di social engineering e nell’aggiornamento costante delle difese tecnologiche.