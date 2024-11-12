Nel luglio 2024, X-Force ha osservato un cambiamento a metà campagna nelle e-mail distribuite da Hive0145, con la sostituzione dei messaggi brevi e generici con quelle che sembravano essere e-mail legittime rubate. Le e-mail di phishing corrispondevano esattamente alle e-mail ufficiali di comunicazione delle fatture e, in alcuni casi, si rivolgevano comunque direttamente ai destinatari originali per nome. X-Force è riuscita a verificare che le e-mail fossero effettivamente notifiche di fattura autentiche provenienti da vari enti nei settori finanziario, tecnologico, manifatturiero, media, e-commerce e altri settori. È probabile che il gruppo abbia ottenuto le e-mail tramite credenziali precedentemente esfiltrate dalle campagne precedenti.

Il concetto di utilizzare e-mail rubate non è nuovo, è stato ampiamente utilizzato dal gruppo Emotet e da distributori di malware come Hive0118 (noto anche come TA577), TA551 e TA570. Nelle loro campagne, hanno utilizzato il dirottamento del thread, in cui sono stati impiegati nuovi thread di e-mail rubate per aumentare l'apparenza di legittimità. Le e-mail modificate sono state inviate ai contatti corrispondenti delle vittime precedenti, facendo apparire l'e-mail finale come una risposta all'e-mail rubata, dirottando così il thread di e-mail. Il testo aggiunto dai distributori alle e-mail è spesso composto da brevi risposte che invitano le vittime a consultare gli allegati o gli URL inclusi.

La tecnica utilizzata da Hive0145 differisce dal dirottamento del thread poiché, invece di aggiungere un messaggio di risposta all'e-mail rubata, mantiene il contenuto originale in gran parte inalterato mentre solo l'allegato viene modificato per includere un payload malevolo usando il nome del file originale (senza l'estensione originale). All'interno del corpo dell'e-mail, Hive0145 sostituisce sia la parte locale sia il dominio del mittente originale con quello della nuova vittima del phishing per personalizzare l'e-mail. Le e-mail con allegati dirottati vengono poi inviate in campagne di phishing di massa. Hive0145 sembra anche considerare attentamente le e-mail dirottate selezionando solo quelle che fanno riferimento alle fatture e contengono allegati. X-Force ha osservato la tecnica di dirottamento degli allegati dalla metà del 2024 nelle campagne rivolte a utenti di lingua tedesca, spagnola e ucraina.