Piattaforma Bubble sfruttata per rubare credenziali Microsoft: come proteggersi

Introduzione per utenti non tecnici

Una nuova minaccia sta colpendo gli utenti di Microsoft 365. I criminali informatici hanno scoperto come utilizzare Bubble, una piattaforma legittima per creare applicazioni, per ingannare le persone e rubare le loro credenziali di accesso. La cosa preoccupante è che questi attacchi superano facilmente i filtri di sicurezza delle email perché sembrano provenire da siti affidabili.

La soluzione rapida: se ricevi un’email con un link che ti chiede di accedere al tuo account Microsoft, non cliccare direttamente. Vai invece direttamente su outlook.com o accedi tramite l’applicazione ufficiale di Microsoft. Se hai già inserito le tue credenziali su un sito sospetto, cambia subito la password del tuo account Microsoft e contatta il supporto Microsoft.

Come funziona l’attacco

Bubble è una piattaforma che consente a chiunque di creare applicazioni web e mobile senza scrivere codice. Gli attaccanti hanno trovato il modo di sfruttarla per creare pagine di phishing sofisticate che sembrano completamente legittime.

Ecco il processo:

1. Creazione dell’applicazione malevola: gli attaccanti utilizzano Bubble per generare un’app che contiene codice complesso e nascosto
2. Hosting su dominio affidabile: l’app viene ospitata su bubble.io, un dominio legittimo che i filtri di sicurezza non considerano pericoloso
3. Reindirizzamento invisibile: quando un utente accede all’app, viene reindirizzato silenziosamente verso una pagina di login Microsoft falsa
4. Protezione aggiuntiva: la pagina falsa è spesso protetta da verifiche Cloudflare, che aggiungono un ulteriore livello di credibilità
5. Furto di credenziali: qualsiasi nome utente e password inserito viene catturato dai criminali

Perché questi attacchi sono così efficaci

Il motivo per cui questa tecnica funziona così bene riguarda il modo in cui viene generato il codice. Bubble crea applicazioni con strutture JavaScript estremamente complesse e articolate. Questo codice è talmente complicato che anche i sistemi di sicurezza automatizzati non riescono a identificarlo come pericoloso.

I filtri email tradizionali vedono un link che proviene da bubble.io e pensano: “È un dominio legittimo, deve essere sicuro”. Nel frattempo, il codice nascosto all’interno dell’applicazione reindirizza l’utente verso il sito di phishing.

Segni di allarme da riconoscere

Per proteggerti, impara a riconoscere questi indicatori di un possibile attacco di phishing:

• Email da indirizzi strani: se un’email afferma di provenire da Microsoft ma viene inviata da un indirizzo come microsoftsupport.ru o simile, è un campanello d’allarme
• Link che non corrispondono: passa il mouse sul link senza cliccare. Se l’URL non inizia con outlook.office.com o account.microsoft.com, è sospetto
• Richieste inaspettate di accesso: Microsoft non ti chiederà mai di accedere tramite un link in un’email se non hai richiesto assistenza
• Protocollo HTTP anziché HTTPS: un’URL che inizia con http:// (senza la “s”) non è sicura per l’accesso ai tuoi account
• Nomi di dominio strani: domini come contoso-it.net anziché contoso.com dovrebbero destare sospetti

Cosa fare se sei stato colpito

Se temi di aver inserito le tue credenziali su un sito sospetto, agisci immediatamente:

1. Cambia la password: accedi a account.microsoft.com da un computer che sai essere sicuro e modifica la password del tuo account Microsoft
2. Abilita l’autenticazione a più fattori: se non l’hai già fatto, attiva la verifica in due passaggi per il tuo account
3. Controlla l’attività dell’account: accedi alla sezione “Attività dell’account” per verificare se qualcuno ha acceduto al tuo profilo
4. Contatta il supporto Microsoft: se noti attività sospetta, contatta immediatamente il supporto ufficiale
5. Monitorizza i tuoi conti bancari: se hai inserito informazioni di pagamento, contatta il tuo istituto bancario per segnalare il possibile furto

Come segnalare questi attacchi

Aiutare a fermare questi criminali è importante. Se ricevi un’email di phishing:

• In Outlook: seleziona il messaggio, vai su “Segnala” e scegli “Phishing”
• In Microsoft Edge: se visiti un sito sospetto, vai su “Impostazioni e altro” > “Guida e feedback” > “Segnala siti web non sicuri”
• Al supporto Microsoft: puoi segnalare i tentativi di phishing direttamente al team di sicurezza di Microsoft

Ogni segnalazione aiuta Microsoft a migliorare i suoi filtri di sicurezza e a proteggere altri utenti.

Misure di prevenzione per il futuro

Oltre a riconoscere gli attacchi, puoi implementare alcune strategie preventive:

• Accedi sempre direttamente: invece di cliccare su link nelle email, vai direttamente a outlook.com o usa l’app ufficiale
• Usa un gestore di password: i gestori di password affidabili compilano automaticamente le credenziali solo sui siti legittimi
• Mantieni il software aggiornato: assicurati che il tuo sistema operativo, browser e antivirus siano sempre aggiornati
• Attiva gli avvisi di sicurezza: abilita le notifiche di accesso insolito nel tuo account Microsoft
• Diffida dei link abbreviati: i link accorciati (bit.ly, tinyurl, ecc.) possono nascondere URL pericolosi

Technical Deep Dive

Per i professionisti della sicurezza e gli amministratori IT, è importante comprendere i dettagli tecnici di questa minaccia.

Analisi del codice generato da Bubble

La piattaforma Bubble genera applicazioni utilizzando massicce strutture JavaScript e DOM (Document Object Model) isolate. Questa complessità rappresenta un vantaggio significativo per gli attaccanti perché:

• Shadow DOM: l’uso di Shadow DOM rende il codice difficile da analizzare staticamente. I componenti sono incapsulati e nascosti dalla normale ispezione del DOM
• Offuscamento naturale: il codice generato automaticamente contiene identificatori verbosi, commenti generici e strutture ridondanti che confondono gli algoritmi di analisi automatica
• Evasione di firme: il codice è diverso per ogni istanza generata, il che rende inefficaci i metodi di rilevamento basati su firme

Integrazione con piattaforme PhaaS

Ricercatori di sicurezza avvertono che questa tecnica sarà probabilmente integrata in piattaforme di Phishing-as-a-Service (PhaaS) e kit di phishing diffusi. Queste piattaforme offrono:

• Intercettazione di cookie di sessione: cattura in tempo reale dei token di sessione per mantenere l’accesso anche dopo il cambio di password
• Attacchi Adversary-in-the-Middle (AiTM): intercettazione del flusso di autenticazione per aggirare l’autenticazione a più fattori
• Generazione AI di email: creazione automatica di messaggi di phishing personalizzati e convincenti
• Geo-filtraggio: distribuzione selettiva degli attacchi in base alla posizione geografica
• Hosting su infrastrutture cloud: utilizzo di servizi AWS, Azure e altri per evitare blacklist

Raccomandazioni per amministratori IT

Gli amministratori Microsoft 365 dovrebbero implementare:

• ATP Anti-phishing: abilitare Advanced Threat Protection con regole anti-phishing avanzate
• Monitoraggio dei domini: implementare DMARC, SPF e DKIM per prevenire lo spoofing di email
• Analisi comportamentale: utilizzare strumenti che monitorano accessi anomali e attività insolite
• Formazione degli utenti: condurre regolari esercitazioni di sensibilizzazione al phishing
• Blocco delle app non autorizzate: limitare l’accesso a Bubble e piattaforme simili se non necessario
• Verifica del dispositivo: richiedere la conformità del dispositivo prima di consentire l’accesso ai dati sensibili

Fonte: https://www.bleepingcomputer.com/news/security/bubble-ai-app-builder-abused-to-steal-microsoft-account-credentials/