Phishing con Allegato per Rubare Credenziali: Spearphishing Attachment (T1598.002)

Simulare questa tecnica in ambiente controllato è fondamentale per testare la resilienza dell'organizzazione al credential harvesting via allegato. L'obiettivo non è compromettere un endpoint, ma misurare quanti utenti consegnano le proprie credenziali dopo aver aperto un allegato apparentemente legittimo.

Il framework più indicato è GoPhish (open source), che consente di orchestrare campagne di phishing end-to-end. Dopo aver configurato il server, si crea un template email con allegato e una landing page di credential harvesting. Il flusso operativo prevede tre fasi: preparazione dell'infrastruttura, costruzione dell'allegato e lancio della campagna.

Per generare un allegato HTML che simuli un portale di login Microsoft 365, si può utilizzare l'Evilginx2 framework (open source) come reverse proxy oppure costruire manualmente un file HTML con un form che punta alla landing page GoPhish. Un approccio più diretto prevede la creazione di un documento HTML standalone che incorpora il form di login — tecnica che replica l'HTML Smuggling usato in campagne reali.

Per la preparazione dell'infrastruttura email con autenticazione corretta, è utile configurare i record SPF e DKIM sul dominio di invio per superare i filtri del target. Con GoPhish, il comando di avvio è semplicemente:

sudo ./gophish

La configurazione della campagna avviene poi tramite l'interfaccia web, dove si definiscono il profilo SMTP, il template email con allegato, il gruppo di destinatari e la landing page. Per allegati Office con macro che reindirizzano a un sito di harvesting, Macro Pack (open source) consente di generare documenti con payload personalizzati:

python macro_pack.py -t TEMPLATE.dotm -o output.docm

Un'alternativa enterprise è Microsoft Attack Simulation Training (a pagamento, incluso in Microsoft 365 E5), che offre campagne di phishing simulate con template predefiniti e metriche di risposta integrate nel portale Security.

Per validare il funzionamento della catena, conviene partire da un test interno su una mailbox di laboratorio, verificando che l'allegato superi eventuali sandbox email, che il portale di harvesting catturi effettivamente le credenziali, e che GoPhish registri correttamente aperture, click e submit. Solo dopo questa validazione si lancia la campagna sul perimetro concordato, documentando il tasso di apertura dell'allegato, il tasso di compilazione del form e il tempo medio di segnalazione al SOC.

La detection di questa tecnica è complicata dal fatto che l'azione avversaria si svolge nella casella di posta dell'utente e — molto spesso — interamente nel browser. Non c'è esecuzione di codice sul sistema, non ci sono processi anomali da monitorare: il danno consiste nell'utente che digita credenziali su un portale malevolo. Per questo motivo la difesa deve essere costruita su tre livelli: filtraggio email, analisi del traffico di rete e telemetria endpoint indiretta.

Il primo livello è la configurazione dei protocolli di autenticazione email. Implementare policy DMARC in modalità reject, dopo aver correttamente configurato SPF e DKIM, riduce drasticamente la capacità degli avversari di spoofare domini legittimi. Su Exchange Online, la policy si gestisce tramite il record DNS TXT del dominio e il portale Security & Compliance. L'alert da configurare nel SIEM riguarda le email in ingresso che falliscono sia il check SPF che DKIM — questi eventi sono disponibili nei log di Microsoft Defender for Office 365 (a pagamento) o nell'header delle email stesse.

Il secondo livello è l'analisi comportamentale del traffico email. Occorre monitorare pattern come un singolo mittente sconosciuto che contatta numerosi account interni, email con allegati HTML o documenti Office provenienti da domini registrati di recente, e messaggi il cui body contiene urgenza esplicita combinata con allegati compilabili. Le regole su Splunk (a pagamento) o Elastic Security (freemium) possono correlare i log del mail gateway con threat intelligence sui domini di invio.

Il terzo livello, spesso trascurato, riguarda il traffico di rete generato dall'apertura dell'allegato. Quando un utente apre un file HTML con un portale di login fittizio, il browser genera connessioni verso domini esterni — spesso su infrastruttura appena registrata. L'alert da configurare è:

• Connessioni HTTP/HTTPS verso domini con età inferiore a 30 giorni, originate da processi browser, immediatamente successive all'apertura di un allegato email
• Richieste POST contenenti parametri tipici di form di login (campi username, password) verso domini non in whitelist
• Traffico anomalo in uscita da processi che normalmente non iniziano connessioni di rete

Per la gestione dei falsi positivi, il rischio principale è il volume di email legittime con allegati Office. Il tuning deve escludere i domini mittente verificati e interni, concentrando gli alert su combinazioni di indicatori: allegato HTML + dominio giovane + mancato superamento DMARC.

L'analisi forense di un attacco di credential harvesting via allegato è peculiare: spesso non c'è compromissione dell'endpoint in senso tradizionale. Le credenziali vengono sottratte attraverso un'interazione utente-browser, e l'evidenza risiede in gran parte nei log email, nella cronologia del browser e nei log di accesso ai servizi cloud. La sfida è ricostruire la catena dal momento della ricezione dell'email fino all'eventuale utilizzo delle credenziali rubate.

Il punto di partenza è il mail server. I log di Exchange o del gateway email (es. Proofpoint — a pagamento, o MailScanner — open source) contengono l'header completo dell'email malevola, inclusi Message-ID, Return-Path, risultati SPF/DKIM/DMARC e gli IP di origine. Questi header vanno estratti e preservati come primo artefatto della timeline.

Sul lato endpoint, se l'allegato era un file HTML, la cronologia del browser è l'artefatto chiave. Per Chrome, il database History in formato SQLite si trova nel profilo utente e contiene URL visitati con timestamp preciso. L'analisi si effettua con:

sqlite3 "~/.config/google-chrome/Default/History" "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 50;"

Su Windows il percorso equivalente è sotto %LOCALAPPDATA%\Google\Chrome\User Data\Default\History. Per un'analisi più strutturata, Hindsight (open source) è un tool dedicato alla forensic analysis dei browser Chromium-based che estrae cronologia, download, cookie e dati di autofill in formato organizzato.

Se l'allegato era un documento Office con macro, entrano in gioco gli artefatti classici: i file nella directory Recent dell'utente, i log di Windows Defender (se la macro è stata bloccata o segnalata), e le chiavi di registro sotto HKCU\Software\Microsoft\Office<versione><app>\Security che indicano se le macro sono state abilitate manualmente. Il file stesso va analizzato con oletools (open source) per estrarre macro VBA e URL di reindirizzamento:

olevba allegato.docm

Per le fonti esterne, il dominio del portale di credential harvesting va investigato tramite WHOIS storico (servizi come DomainTools — a pagamento) e passive DNS (PassiveTotal — freemium) per identificare data di registrazione, registrant e infrastruttura associata. I Certificate Transparency logs, consultabili tramite il servizio crt.sh, rivelano eventuali certificati emessi per il dominio malevolo, confermando la preparazione dell'infrastruttura.

La timeline completa dovrebbe collegare: ricezione email → apertura allegato → connessione al portale → eventuale submit delle credenziali → primo accesso anomalo all'account compromesso (visibile nei log di Azure AD Sign-In o equivalenti).

Quattro gruppi APT documentati impiegano questa tecnica, con un pattern comune chiaro: l'uso di allegati email non come vettore di infezione, ma come strumento di raccolta credenziali propedeutico a operazioni successive. La distribuzione geografica e settoriale di questi gruppi rivela motivazioni e target distinti.

Dragonfly (G0035) è un gruppo con focus sul settore energetico e infrastrutture critiche, storicamente attribuito ad attività di spionaggio. Il loro utilizzo di allegati Microsoft Office per il credential harvesting si inserisce in un modello operativo che privilegia l'accesso persistente a reti OT/ICS: le credenziali raccolte rappresentano il primo passo per penetrare ambienti industriali dove l'autenticazione è spesso il punto debole. Il passaggio da reconnaissance a initial access è tipicamente rapido e mirato.

Star Blizzard (G1033) mostra un approccio più sofisticato dal punto di vista del social engineering. Il gruppo investe tempo nel costruire un rapporto di fiducia con i target prima di inviare l'allegato malevolo contenente link a siti di credential stealing. Questa tecnica di rapport-building indica un livello di pazienza operativa elevato e target ad alto valore — tipicamente individui in posizioni sensibili nel settore governativo, accademico o think tank.

Sidewinder (G0121) opera prevalentemente nell'area del Sud e Sud-Est asiatico, con un modus operandi che prevede email con allegati malevoli che reindirizzano le vittime verso siti di credential harvesting. Il gruppo è noto per la velocità di adattamento dei propri lure, spesso costruiti su temi geopolitici regionali di attualità.

SideCopy (G1008) adotta un approccio più ampio, utilizzando lure generici in campagne spam per raccogliere email e credenziali in modo massivo. Questo profilo suggerisce un modello di targeting opportunistico, dove il volume di credenziali raccolte viene successivamente filtrato per identificare accessi di valore.

Il pattern convergente tra questi gruppi è l'uso del credential harvesting come capacità abilitante: nessuno di essi si ferma alla raccolta dati, ma utilizza le credenziali come trampolino per accessi diretti. Per il threat intelligence officer, la detection di campagne di phishing con allegati provenienti da infrastruttura associata a questi gruppi dovrebbe innescare immediatamente una verifica degli accessi ai servizi esposti (VPN, webmail, portali cloud), poiché il tempo tra harvesting e primo utilizzo delle credenziali è storicamente breve.

Framework MITRE ATT&CK v16 — Tecnica T1598.002 (Spearphishing Attachment), Tattica TA0043 (Reconnaissance). Gruppi: G0035, G1033, G0121, G1008. Mitigazioni: M1017, M1054. Detection: analisi Network Traffic e Application Log. Integrato con conoscenza professionale per tool e procedure operative.