Campagna di phishing su larga scala colpisce 35.000 utenti in 26 paesi: come proteggersi

Campagna di phishing su larga scala colpisce 35.000 utenti in 26 paesi: come proteggersi

Campagna di phishing su larga scala colpisce 35.000 utenti in 26 paesi: come proteggersi

Cosa è successo e come proteggersi subito

Una delle più grandi campagne di phishing mai registrate ha colpito decine di migliaia di utenti in tutto il mondo. Microsoft ha documentato un attacco che ha preso di mira oltre 35.000 persone in 26 paesi, con il 92% degli obiettivi situati negli Stati Uniti. La buona notizia è che riconoscere questi attacchi è possibile se sai cosa cercare.

La soluzione rapida: Se ricevi un’email che ti chiede di verificare urgentemente il tuo codice di condotta aziendale o di risolvere una questione di conformità, non cliccare su nessun link. Contatta direttamente il tuo dipartimento IT tramite un numero di telefono ufficiale che conosci già. Questo è il modo più sicuro per verificare se l’email è legittima.

I dettagli dell’attacco

La campagna è stata osservata tra il 14 e il 16 aprile 2026 e ha colpito organizzazioni in diversi settori critici. I settori più bersagliati sono stati:

  • Sanità e scienze della vita (19%)
  • Servizi finanziari (18%)
  • Servizi professionali (11%)
  • Tecnologia e software (11%)

Questa campagna è stata particolarmente sofisticata perché i criminali hanno utilizzato template HTML di alta qualità che sembravano comunicazioni aziendali interne legittime. Le email contenevano dichiarazioni di autenticità e layout strutturati che le rendevano difficili da distinguere da messaggi genuini.

Come funziona l’attacco

I criminali hanno utilizzato diverse tattiche per ingannare gli utenti:

Nomi mittente ingannevoli: Le email provenivano da indirizzi che sembravano interni, come “Internal Regulatory COC”, “Workforce Communications” e “Team Conduct Report”.

Soggetti urgenti: I messaggi contenevano righe di oggetto allarmanti come “Internal case log issued under conduct policy” e “Reminder: employer opened a non-compliance case log”. Questi soggetti creano un senso di urgenza che spinge gli utenti ad agire rapidamente senza pensare.

Dichiarazioni di legittimità: Ogni messaggio iniziava con un avviso che affermava che il messaggio era stato “emesso attraverso un canale interno autorizzato” e che i link e gli allegati erano stati “revisionati e approvati per l’accesso sicuro”.

Allegati PDF: Le email includevano allegati PDF che presumibilmente contenevano informazioni sulla revisione della condotta. Quando gli utenti aprivano il PDF e cliccavano sul link al suo interno, venivano reindirizzati a una pagina di phishing.

Il flusso di attacco completo

Una volta che l’utente cliccava sul link, veniva sottoposto a un’esperienza di attacco sofisticata:

  1. Pagine intermedie con CAPTCHA: I criminali hanno utilizzato più round di CAPTCHA e pagine intermedie per sembrare legittimi e per aggirare le difese automatizzate.

  2. Pagina di accesso falsa: Alla fine, gli utenti venivano reindirizzati a una pagina di accesso contraffatta che sembrava autentica.

  3. Furto di credenziali in tempo reale: La pagina utilizzava tattiche di “adversary-in-the-middle” (AiTM) per rubare sia le credenziali di Microsoft che i token di autenticazione, bypassando efficacemente l’autenticazione a più fattori (MFA).

  4. Destinazione finale: A seconda che l’attacco provenisse da un dispositivo mobile o desktop, gli utenti venivano indirizzati a destinazioni diverse.

Il fatto che i criminali abbiano utilizzato servizi di posta elettronica legittimi per inviare questi messaggi ha reso ancora più difficile identificare l’attacco come fraudolento.

Tendenze di phishing nel 2026

Questa campagna non è un caso isolato. L’analisi di Microsoft del panorama delle minacce di posta elettronica tra gennaio e marzo 2026 ha rivelato tendenze allarmanti:

QR code phishing in crescita esplosiva: I codici QR sono emersi come il vettore di attacco in più rapida crescita. Il volume degli attacchi è aumentato da 7,6 milioni a gennaio a 18,7 milioni a marzo, rappresentando un aumento del 146%. I criminali utilizzano i codici QR per nascondere URL dannosi, link in-app che rubano credenziali e per bypassare la sicurezza dei negozi di app.

CAPTCHA-gated phishing in evoluzione: Le tattiche che utilizzano CAPTCHA per filtrare i bot di sicurezza si sono evolute rapidamente e sono ora applicate a diversi tipi di payload.

Volume totale di minacce: Microsoft ha rilevato circa 8,3 miliardi di minacce di phishing basate su email. Di questi:

  • Quasi l’80% erano basati su link
  • File HTML e ZIP di grandi dimensioni rappresentavano una parte enorme dei payload dannosi
  • Il furto di credenziali era l’obiettivo principale della stragrande maggioranza degli attacchi
  • La consegna di malware è scesa al solo 5-6% entro la fine del trimestre

Attacchi BEC in aumento: Gli attacchi di compromissione della posta elettronica aziendale (BEC) hanno mostrato più fluttuazioni, superando i 4 milioni di volume di attacchi a marzo 2026, in aumento rispetto ai 3,5 milioni di gennaio e ai 3 milioni di febbraio. Complessivamente, sono stati registrati 10,7 milioni di attacchi BEC.

Campagne specifiche osservate nel Q1 2026

Campagna di febbraio: Una grande campagna sostenuta tra il 23 e il 25 febbraio ha inviato più di 1,2 milioni di messaggi a utenti di oltre 53.000 organizzazioni in 23 paesi. Utilizzava lure tematiche relative a piani 401(k), pagamenti e fatture per servire un allegato SVG. L’apertura del file reindirizzava le vittime a un controllo CAPTCHA, dopo il quale veniva mostrata una pagina di accesso falsa.

Campagna di marzo: Una massiccia campagna il 17 marzo ha coinvolto più di 1,5 milioni di messaggi confermati come dannosi inviati a oltre 179.000 organizzazioni in 43 paesi. Quando gli utenti aprivano il file HTML, venivano reindirizzati a una pagina di phishing che presentava un controllo CAPTCHA prima di servire una pagina di accesso fraudolenta.

Interessante notare che, sebbene i messaggi in questa campagna condividessero strumenti comuni, struttura e caratteristiche di consegna, l’infrastruttura che ospitava il payload di phishing finale era collegata a più provider PhaaS diversi, inclusi Tycoon 2FA, Kratos (ex Sneaky 2FA) e EvilTokens.

Abuso di Amazon SES

Un’altra tendenza preoccupante è l’abuso di Amazon Simple Email Service (SES) come vettore di consegna. Gli attacchi che sfruttano Amazon SES bypassano i controlli di autenticazione SPF, DKIM e DMARC, facilitando il furto di credenziali tramite pagine di accesso fraudolente. Questi attacchi funzionano ottenendo accesso ad Amazon SES attraverso chiavi di accesso AWS trapelate.

La natura insidiosa di questi attacchi risiede nel fatto che i criminali non utilizzano domini sospetti o pericolosi. Invece, sfruttano infrastrutture che sia gli utenti che i sistemi di sicurezza hanno imparato a fidarsi. Bypassando lo sforzo di costruire domini e infrastrutture di posta dubbie da zero, i criminali utilizzano chiavi di accesso rubate per inviare migliaia di email di phishing che superano i controlli di autenticazione della posta, provengono da indirizzi IP che è improbabile siano bloccati e contengono link a moduli di phishing completamente legittimi.

Technical Deep Dive

Analisi tecnica della campagna

Da una prospettiva tecnica, questa campagna rappresenta un’evoluzione significativa nelle tattiche di phishing. L’uso di servizi di posta elettronica legittimi come vettore di consegna è una strategia che aggira i filtri anti-spam tradizionali basati su reputazione del dominio.

Bypass MFA tramite AiTM: La tattica di “adversary-in-the-middle” utilizzata in questa campagna è particolarmente efficace perché intercetta le credenziali nel momento in cui vengono inserite. A differenza dei semplici attacchi di phishing che rubano solo le credenziali iniziali, gli attacchi AiTM catturano anche i token di sessione e i cookie di autenticazione, permettendo ai criminali di accedere agli account anche quando è abilitata l’autenticazione a più fattori.

Uso di CAPTCHA come filtro: L’implementazione di CAPTCHA multipli nel flusso di attacco serve a due scopi: crea l’illusione di legittimità e filtra i bot di sicurezza automatizzati. Questo è un esempio di come i criminali si adattano alle difese di sicurezza moderne.

Piattaforme PhaaS: L’uso di piattaforme Phishing-as-a-Service come Tycoon 2FA, Kratos e EvilTokens indica un’ecosistema criminale sofisticato e organizzato. Queste piattaforme forniscono infrastrutture pronte all’uso per condurre attacchi di phishing su larga scala.

Spostamento di Tycoon 2FA: Il passaggio di Tycoon 2FA da Cloudflare ad altre piattaforme di hosting alternative dopo un’operazione di interruzione coordinata a marzo 2026 dimostra come i criminali si adattano rapidamente alle azioni di contrasto.

Indicatori di compromissione (IoC)

Gli amministratori di sicurezza dovrebbero monitorare:

  • Accessi anomali a Microsoft 365 da indirizzi IP geograficamente improbabili
  • Attività di token di autenticazione da dispositivi non riconosciuti
  • Pattern di email con allegati SVG, HTML o ZIP provenienti da indirizzi di posta legittimi ma sospetti
  • Richieste di verifica di codice di condotta o conformità inviate tramite email

Mitigazione tecnica

Le organizzazioni dovrebbero implementare:

  • Autenticazione a più fattori con vincoli di accesso geografico
  • Monitoraggio delle sessioni e rilevamento di anomalie
  • Sandboxing degli allegati email
  • Ispezione del traffico HTTPS per rilevare pagine di phishing
  • Implementazione di DMARC, SPF e DKIM rigorosi
  • Monitoraggio dell’abuso di servizi cloud legittimi come Amazon SES
  • Formazione di sensibilizzazione sulla sicurezza regolare per gli utenti finali

Fonte: https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto