Secondo una recente ricerca pubblicata da RiskIQ, università e college di tutto il mondo sono oggetto di una nuova campagna di phishing.
Tra gli istituti scolastici che saranno colpiti dalla campagna Shadow Academy ci sono la Louisiana State University (LSU) negli Stati Uniti e le università di Oxford, Brighton e Wolverhampton nel Regno Unito.
I ricercatori di RiskIQ hanno saputo dell’attività dannosa degli hacker di Shadow Academy all’inizio di luglio 2020, quando è apparsa sul loro grafico di intelligence su Internet.
Monitorando la campagna da luglio a ottobre 2020, i ricercatori hanno scoperto 20 obiettivi unici in Australia, Afghanistan, Regno Unito e Stati Uniti.
Secondo i ricercatori, le tattiche, le tecniche e le procedure (TTP) utilizzate durante l’attacco della campagna erano “simili” a quelle dispiegate dal Mabna Institute, una società iraniana che, secondo l’FBI, è stata creata per ottenere illegalmente l’accesso “a risorse scientifiche non-iraniane attraverso intrusioni informatiche”.
I ricercatori hanno scoperto che il 63% delle università è stato preso di mira con accesso generale o attacchi al portale studentesco, il 37% è stato preso di mira con attacchi a tema bibliotecario e l’11% delle università è stato colpito da attacchi a tema di aiuti finanziari.
LSU, che ha subito un attacco di shadowing del dominio del portale degli studenti, è stato il primo obiettivo identificato dai dati di scansione di RiskIQ.
“Lo shadowing del dominio intercetta il traffico degli account che scorre verso domini web esistenti, registrati e altrimenti affidabili“, hanno scritto i ricercatori.
“In primo luogo, gli autori delle minacce rubano le credenziali degli account di dominio. Quindi registrano sottodomini non autorizzati per indirizzare il traffico a server dannosi o, in questo caso, creano pagine di phishing“.
I ricercatori hanno scoperto che Shadow Academy aveva ospitato un’infrastruttura dannosa simile per orchestrare attacchi contro altre tre università.
“Il grafico di Internet Intelligence di RiskIQ ha aiutato a portare alla luce un nuovo lotto di domini compromessi inserendo la struttura dell’URL e l’intervallo di date di registrazione“, hanno osservato i ricercatori.
“I sottodomini creati da questi domini abbracciavano più temi della campagna, incentrati principalmente sulla raccolta delle credenziali e sui furti finanziari“.
Gli URL di raccolta delle credenziali rilevati dai ricercatori si sono concentrati principalmente su servizi come Amazon, Instagram e l’online banking.
I ricercatori ritengono che la tempistica del lancio della campagna sia stata scelta in concomitanza con il rilascio di luglio delle scadenze per le operazioni all’interno del campus da parte di molti campus universitari.