Nel panorama della sicurezza informatica, un nuovo allarme riguarda una sofisticata campagna di attacchi contro gli account Microsoft 365. I ricercatori hanno scoperto che gruppi di cybercriminali stanno sfruttando applicazioni OAuth false, mascherate da note aziende come RingCentral, SharePoint, Adobe e Docusign, per rubare credenziali e prendere il controllo degli account aziendali. Queste applicazioni malevole vengono usate come porta d'accesso per phishing avanzato e attacchi di account takeover.

Caratteristiche della campagna e tecniche utilizzate

La campagna, rilevata per la prima volta nei primi mesi del 2025, si basa su phishing kit come Tycoon e ODx, progettati per superare anche la protezione della multi-factor authentication (MFA). Gli attaccanti inviano email da caselle compromesse, spingendo le vittime a cliccare su link che, sotto la scusa di richieste di preventivo o accordi commerciali, reindirizzano verso una pagina OAuth di Microsoft per un'applicazione chiamata iLSMART. Qui viene chiesto all’utente di concedere permessi che, se accettati, permettono agli aggressori di accedere a dati sensibili e di proseguire con la compromissione dell’account.

Anche se i permessi richiesti sembrano limitati, il loro vero scopo è consentire il passaggio alla fase successiva dell’attacco. Indipendentemente dalla risposta dell'utente, la vittima viene reindirizzata prima a una pagina CAPTCHA e poi a una finta pagina di autenticazione Microsoft, dove viene sfruttata una tecnica phishing “adversary-in-the-middle” (AitM) per carpire credenziali e codici MFA tramite la piattaforma Tycoon Phishing-as-a-Service.

Impatto e risposte di sicurezza

La portata di questa ondata è ampia: solo nel 2025, sono stati registrati quasi 3.000 account compromessi in oltre 900 ambienti Microsoft 365. Gli attaccanti stanno perfezionando strategie sempre più complesse per eludere i sistemi di rilevamento e puntano sempre più sull’identità dell’utente come vettore di attacco, rendendo l’AitM phishing uno standard del cybercrime.

Come risposta, Microsoft ha annunciato l’aggiornamento delle impostazioni di default per rafforzare la sicurezza, bloccando protocolli di autenticazione legacy e richiedendo il consenso dell’amministratore per le app di terze parti. Queste modifiche, previste entro agosto 2025, dovrebbero ostacolare notevolmente le tecniche sfruttate dagli attaccanti.

Altre minacce emergenti

Parallelamente, altre campagne di spear-phishing stanno diffondendo malware come VIP Keylogger e collegamenti camuffati in PDF che installano software di controllo remoto, soprattutto in Europa. L’utilizzo di strumenti RMM rappresenta un ulteriore rischio, fungendo da vettore di accesso iniziale per possibili attacchi ransomware.