questa analisi sintetizza una recente segnalazione di microsoft riguardo a una campagna di phishing basata su oauth che mira a distribuire malware sfruttando una funzione di redirect legittima. gli attacchi risultano mirati verso enti governativi e settori pubblici, caratterizzati da una precisa ingegneria degli elementi di convincimento e dall’impiego di contenuti apparentemente affidabili.
microsoft avvisa utenti su una nuova campagna di phishing con login oauth
in una recente ondata di attacchi, gruppi di minaccia inviano email mirate che sembrano riferimenti a registrazioni di riunioni di teams o a notifiche urgentissime di reset password di microsoft 365. ogni messaggio contiene un link con parametri manipolati pensato per interagire con il sistema oauth. al click, la pagina di login legittima appare, ma genera un errore che avvia la funzionalità di redirect, inoltrando l’utente verso un sito controllato dai criminali.
una volta reindirizzati, gli utenti finiscono su una piattaforma di phishing-as-a-service che ospita file dannosi. in uno dei casi osservati, il percorso di download conduce a un archivio zip compresso; al suo interno si trovano shortcut e componenti di html smuggling che, all’apertura, lanciano un PowerShell nascosto. l’operazione avvia un eseguibile legittimo associato a una dll malevola caricata in secondario, stabilendo una connessione in uscita.
meccanismo dell’attacco
l’autenticação oauth non compromessa viene sfruttata solo come canale di consegna: i filtri di sicurezza possono essere aggirati per veicolare malware anziché credenziali, sfruttando un flusso di redirect che sfugge ai controlli e indirizza la vittima verso componenti malevoli.
osservazioni e cautela
la portata esatta della campagna resta incerta, ma è chiaro che è necessario rafforzare i filtri email, esaminare le configurazioni di redirect nelle applicazioni e formare il personale su tattiche di phishing sempre più avanzate. la vigilanza resta cruciale poiché gli aggressori adottano tecniche sofisticate per indurre l’installazione di malware.
misure di prevenzione e raccomandazioni
tra le indicazioni principali vi sono: potenziare i sistemi di filtraggio delle email, rivedere le impostazioni di reindirizzamento e educare i dipendenti su segnali di phishing avanzati. la linea d’azione mira a ridurre l’esposizione a pratiche di social engineering e a impedire l’uso improprio del meccanismo di redirect finché non si chiarisce la portata della minaccia.
Lascia un commento