I ricercatori di Trustwave hanno osservato attaccanti utilizzare allegati RPMSG crittografati, inviati tramite account Microsoft 365 compromessi in una campagna di phishing volta a rubare le credenziali Microsoft.
“Un file RPMSG è un messaggio di posta elettronica crittografato creato con le applicazioni client di posta elettronica Microsoft Outlook, l’applicazione di posta elettronica e calendario di Microsoft. Viene inviato come allegato separato ai messaggi di posta elettronica standard e può essere aperto solo da determinati utenti. Ciò limita l’accesso a questi file ad altri utenti che non sono destinati a ricevere le informazioni in questi file.”
Il destinatario può leggere i messaggi crittografati solo dopo essersi autenticato con il proprio account Microsoft o aver ottenuto un passcode monouso.
“Questi attacchi di phishing sono difficili da contrastare. Sono a basso volume, mirati e utilizzano servizi cloud affidabili per inviare e-mail e ospitare contenuti (Microsoft e Adobe). Le e-mail iniziali vengono inviate da account Microsoft 365 compromessi e sembrano indirizzate a indirizzi di destinatari in cui il mittente potrebbe essere familiare … L’uso di messaggi .rpmsg crittografati significa che il contenuto di phishing del messaggio, inclusi i collegamenti URL, è nascosto dai gateway di scansione della posta elettronica. L’unico collegamento URL nel corpo del messaggio punta a un servizio di crittografia Microsoft”, la conclusione del report dei ricercatori di Trustwave.
https://securityaffairs.com/146768/cyber-crime/rpmsg-messages-microsoft-365-phishing.html
https://docs.fileformat.com/it/email/rpmsg/