Una campagna in crescita sta sfruttando l'email bombing come esca e Microsoft Teams per impersonare il supporto IT, con l'obiettivo di ottenere accesso remoto ai dispositivi.
Autore: Redazione SecurityOpenLab
Dal primo trimestre 2026 è in corso un aumento degli attacchi di phishing veicolati attraverso Microsoft Teams, documentati dai ricercatori di eSentire. La catena di attacco segue uno schema preciso e in più fasi, che sfrutta la familiarità degli utenti con gli strumenti di collaborazione aziendali per abbassare la soglia di diffidenza. L'attacco inizia con una campagna di email bombing: la vittima riceve un volume anomalo di messaggi in un arco di tempo breve, che ha l'obiettivo di creare confusione e un senso di urgenza. L'utente, disorientato dal flusso di messaggi, è psicologicamente predisposto ad accettare aiuto da chiunque si presenti come supporto tecnico.
A questo punto inizia la seconda fase: gli attaccanti contattano la vittima direttamente su Microsoft Teams, fingendosi personale del team IT interno o dell'helpdesk aziendale. Il messaggio arriva da account creati appositamente per l'occasione: tenant.onmicrosoft.com con nomi come IT Protection Department o Windows Security Help Desk. Per aumentare la credibilità, gli account utilizzano nomi propri realistici in inglese (come michaelturner@...).
L'analisi dell'infrastruttura rivela un'operazione coordinata: i messaggi malevoli provengono prevalentemente da provider offshore compiacenti, con singoli indirizzi IP osservati mentre prendono di mira più organizzazioni contemporaneamente. Una volta instaurato il contatto, l'attaccante guida la vittima ad avviare uno strumento di accesso remoto come per esempio Quick Assist o AnyDesk, presentandolo come necessario per risolvere il problema email.
Nei casi investigati da eSentire, una volta ottenuto l'accesso, gli attaccanti hanno scaricato versioni portabili di WinSCP direttamente dal sito ufficiale e le hanno utilizzate per esfiltrare dati dai sistemi compromessi. In un'altra variante, attraverso Quick Assist è stato scaricato un archivio ZIP a cui interno c’era un binario Java che eseguiva un'applicazione malevola seguita dall’esfiltrazione di dati. L'obiettivo finale varia in base al gruppo che conduce l'operazione: può essere il furto di dati, la distribuzione di malware o ransomware, o la creazione di persistenza per accessi futuri. Le tecniche documentate da eSentire sono sovrapponibili ai playbook già attribuiti ai gruppi Scattered Spider, Payouts King e UNC6692. Lo studio di eSentire conferma che lo schema sta diventando un metodo standard per più gruppi distinti.
Al centro dell’attenzione è spesso Microsoft Teams, non per inefficienze proprie, ma perché si tratta dello strumento di collaborazione più diffuso in ambito enterprise. La sua integrazione profonda nell'ecosistema Microsoft 365 e la familiarità che gli utenti hanno con le notifiche della piattaforma lo rendono un canale naturalmente credibile; da qui il fatto che un messaggio su Teams da un account con nome plausibile e branding IT è percepito come affidabile.
Sul fronte delle mitigazioni, eSentire raccomanda di limitare la ricezione di messaggi e chiamate da organizzazioni esterne su Teams, di autorizzare le interazioni solo con partner verificati e di abilitare le notifiche che segnalano la provenienza esterna dei messaggi. È opportuno restringere tramite policy l'uso di strumenti di accesso remoto come Quick Assist e AnyDesk e bloccare le utility di trasferimento file come WinSCP, RClone e FileZilla salvo necessità operative specifiche. Per quanto riguarda la risposta agli incidenti, è utile assicurarsi che i log di audit di Office 365 vengano acquisiti e monitorati. La misura più efficace rimane però quella organizzativa: formare gli utenti a verificare qualsiasi richiesta IT inattesa attraverso un canale secondario affidabile, come il numero ufficiale dell'helpdesk o il sistema interno di ticketing.