La campagna di Phishing prende di mira gli utenti di dispositivi mobili con PDF malevoli

Una nuova campagna di phishing sta prendendo di mira gli utenti di dispositivi mobili, impersonando il servizio postale degli Stati Uniti (USPS) e utilizzando falsi documenti PDF per rubare informazioni sensibili. Gli esperti di sicurezza presso Zimperium’s zLabs hanno dettagliato oggi questa campagna, che utilizza tattiche avanzate di ingegneria sociale e un metodo innovativo per nascondere link malevoli all’interno dei PDF.

La campagna funziona inviando messaggi SMS contenenti allegati PDF apparentemente legittimi. Questi PDF sembrano innocui ma includono link nascosti che reindirizzano gli utenti a siti web di phishing. Le vittime vengono sollecitate a fornire informazioni personali, come il loro nome, indirizzo, email e numero di telefono.

Sfruttando la fiducia che gli utenti ripongono nei PDF come documenti sicuri e professionali, gli aggressori sono riusciti a eludere il rilevamento da parte di molti sistemi di sicurezza tradizionali.

I ricercatori notano che i PDF sono un pilastro nella comunicazione aziendale, apprezzati per la loro compatibilità e la capacità di mantenere la formattazione. Tuttavia, questa popolarità li rende anche un bersaglio privilegiato per i cybercriminali.

I PDF malevoli possono incorporare link, script o altri contenuti dannosi che sono difficili da rilevare, specialmente sui dispositivi mobili, dove gli utenti tipicamente anteprima i file con un controllo limitato.

L’indagine di Zimperium ha rivelato un’operazione su larga scala che coinvolge oltre 20 file PDF malevoli e 630 pagine di phishing, colpendo utenti in più di 50 paesi. La campagna utilizza una tecnica di evasione unica per oscurare i link malevoli, eludendo molti strumenti di sicurezza degli endpoint.

A differenza dei metodi standard che utilizzano collegamenti visibili, questi PDF nascondono gli URL all’interno della loro struttura, rendendo l’attacco più difficile da rilevare, come notato dall’analisi di Zimperium.

Quando le vittime fanno clic sui collegamenti incorporati, vengono indirizzate a falsi siti web USPS progettati per sembrare autentici. Queste pagine di phishing richiedono dettagli personali con il pretesto di risolvere problemi di consegna. Senza difese avanzate contro le minacce mobili, tali attacchi possono portare a violazioni dei dati, furto di credenziali e perdite finanziarie.

Questa campagna sottolinea la crescente necessità di soluzioni di sicurezza avanzate per proteggere contro attacchi di phishing sempre più sofisticati che prendono di mira i dispositivi mobili.