▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Furto di credenziali Microsoft con una sofisticata campagna di phishing

Open redirector link, CAPTCHA, centinaia di domini e altro: i connotati di una campagna di phishing da manuale studiata per aggirare utenti e sistemi di sicurezza.

Business Vulnerabilità

È noto che le credenziali Microsoft siano un argomento di alto interesse per i criminali informatici. Possono concedere l'accesso iniziale per un attacco ransomware o alla supply chain, o essere impiegata per attacchi BEC e truffe a vario titolo.

Per questo motivo le campagne di phishing mirate al furto di credenziali Microsoft sono sempre più diffuse e sofisticate. L'ultima in ordine di tempo è stata oggetto ai un alert da parte dell'azienda di Redmond, non solo per le proporzioni notevoli ma anche per le tecniche impiegate.

Gli attaccanti hanno unito le tipiche esche di social engineering con open redirector link e CAPTCHA, prima di approdare all'effettiva pagina di phishing con la falsa interfaccia di login di Microsoft Office 365. Il primo elemento di novità è costituito dagli open redirector link. Il loro impiego nelle email è diffuso in azienda: per esempio, nelle campagne di marketing vengono usati gli open redirector link per veicolare i clienti sulle pagine Web desiderate e tenere traccia del numero di clic e di altri parametri commerciali.


Nel caso della campagna di phishing in oggetto, gli attaccanti li hanno sfruttati per collegarsi a un URL in un dominio trusted e incorporare l'eventuale URL dannoso come parametro. È uno stratagemma che permette di aggirare le soluzioni di sicurezza.

A questo punto entra in gioco il CAPTCHA. Ha due funzioni: dare un senso di legittimità alla vittima e, ancora una volta, eludere i sistemi di analisi automatizzati. I CAPTCHA bloccano i tentativi di navigazione dinamica, il controllo dei contenuti della pagina e l'avvio di alcuni sistemi di interpretazione alla pagina di phishing effettiva.

Dopo il CAPTCHA l'utente accede alla tipica interfaccia di Office (ovviamente falsa) dove inserisce le proprie credenziali, cedendole di fatto agli attaccanti. Anche qui però c'è una chicca: l'interfaccia chiede di inserire la password per due volte, per accertarsi che l'utente l'abbia digitata correttamente.

In una campagna ordinaria tutto sarebbe concluso. Invece, per evitare che qualche utente si insospettisca, la procedura rimanda automaticamente a una pagina legittima di Sophos che conferma la conclusione con successo dell'operazione. Come dire: tutto quello che è appena successo è legittimo.


L'altra caratteristica degna di nota è l'ampia varietà di domini impiegati per la diffusione dei messaggi. Comprendono domini di posta elettronica gratuiti forniti da numerosi domini di primo livello (ccTLD), domini legittimi compromessi e domini DGA (Domain Generated Algorithm) di proprietà dell'attaccante. Microsoft ha tracciato in tutto almeno 350 domini di phishing unici utilizzati per questa campagna.

Un numero che indica non solo la scala con cui viene condotto questo attacco, ma gli investimenti che ci sono dietro. Varietà, quantità e tipo di domini indicano uno sforzo elevato per bypassare le soluzioni di sicurezza più sofisticate.

Del resto, Microsoft stessa spiega che l'efficacia delle minacce che oggi corrono via email si basa su tre elementi: un'esca convincente di ingegneria sociale, una tecnica di evasione della detection ben realizzata e un'infrastruttura duratura. Con tutti e tre gli elementi a suo favore, questa campagna di phishing è un esempio di "tempesta perfetta". L'azienda ha pubblicato la lista completa degli indicatori di compromesso: la trovate a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1