La crescente centralità dell’identità digitale nei sistemi informativi contemporanei l’ha resa un obiettivo privilegiato di attacchi informatici sempre più sofisticati. In questo contesto si inserisce una recente campagna di phishing, analizzata da Huntress, che segna un significativo cambio di paradigma nel panorama della sicurezza informatica globale. L’elemento distintivo dell’operazione non risiede soltanto nella sua ampia diffusione — che ha coinvolto oltre 340 organizzazioni tra Stati Uniti, Canada, Australia, Nuova Zelanda e Germania — ma soprattutto nella natura dell’obiettivo perseguito: non più il furto diretto di credenziali, bensì l’acquisizione dei token di accesso associati alle piattaforme Microsoft 365.

Alla base di questa strategia vi è l’impiego della tecnica del device code phishing, che sfrutta un flusso di autenticazione OAuth del tutto legittimo. In questo scenario, l’attaccante induce la vittima a inserire un codice dispositivo su una pagina ufficiale Microsoft, guidandola attraverso un processo di autenticazione apparentemente sicuro e privo di anomalie, inclusa l’eventuale verifica multifattoriale. Una volta completata la procedura, il sistema genera token di accesso validi che vengono intercettati dall’aggressore. Questa dinamica consente di aggirare i tradizionali meccanismi di difesa: non avviene infatti alcuna sottrazione diretta di password, ma viene sfruttata una funzionalità intrinseca del sistema stesso.

Il momento critico si manifesta nella fase successiva, quando i token ottenuti vengono riutilizzati tramite tecniche di token replay. I token OAuth operano infatti come credenziali temporanee che, una volta emesse, non richiedono ulteriori verifiche: chiunque ne sia in possesso può accedere alle risorse autorizzate. Ciò consente agli attaccanti di muoversi indisturbati all’interno degli ambienti compromessi, eludendo controlli basati su password o autenticazione multifattoriale. La presenza di refresh token amplifica ulteriormente il rischio, garantendo la persistenza dell’accesso nel tempo anche qualora le credenziali dell’utente vengano modificate.

Un ulteriore elemento di innovazione è rappresentato dall’abuso di piattaforme cloud legittime, come Railway, utilizzate per ospitare l’infrastruttura malevola. Tali servizi, progettati per supportare lo sviluppo software in modo rapido ed efficiente, offrono ambienti affidabili e difficilmente classificabili come sospetti. Gli attaccanti sfruttano queste caratteristiche per gestire la raccolta e il riutilizzo dei token, beneficiando di indirizzi IP con elevata reputazione. Ne consegue una crescente difficoltà nel distinguere il traffico malevolo da quello legittimo, con una significativa riduzione dell’efficacia dei sistemi di rilevamento tradizionali.

La campagna si distingue inoltre per la complessità della propria catena di distribuzione. Le vittime vengono raggiunte tramite e-mail di phishing altamente personalizzate, costruite per risultare coerenti con il contesto professionale di riferimento. I link contenuti nei messaggi attivano una sequenza articolata di reindirizzamenti che coinvolge anche servizi di sicurezza legittimi e siti compromessi, fino a condurre l’utente alle pagine finali dell’attacco. Questo approccio “multi-hop” rende particolarmente difficile intercettare e bloccare l’operazione nelle sue fasi iniziali, evidenziando un elevato grado di adattabilità da parte degli attaccanti.

Di particolare rilievo è anche la variabilità delle esche utilizzate, fortemente contestualizzate rispetto al settore della vittima. Ciò suggerisce l’impiego di strumenti avanzati di automazione e, verosimilmente, l’integrazione di tecniche di intelligenza artificiale generativa, in grado di aumentare l’efficacia persuasiva delle comunicazioni fraudolente.

Questa campagna rappresenta dunque un chiaro esempio dell’evoluzione delle minacce nel contesto cloud: gli attaccanti non mirano più esclusivamente a sfruttare vulnerabilità tecniche evidenti, ma tendono a manipolare i meccanismi stessi su cui si fonda la sicurezza dei sistemi. In tale scenario, il monitoraggio dei flussi di autenticazione e la gestione attenta delle sessioni assumono un ruolo cruciale nella protezione delle organizzazioni.

Infine, anche nel contesto italiano, la rilevanza della minaccia è stata confermata da segnalazioni istituzionali. L’Agenzia per la Cybersicurezza Nazionale ha evidenziato l’uso improprio del flusso Device Code Grant per ottenere token OAuth validi senza compromettere direttamente le credenziali, mentre il CERT-AgID ha sottolineato il rischio concreto per la Pubblica Amministrazione. Tali evidenze rafforzano la necessità di adottare strategie difensive più avanzate, orientate non solo alla protezione delle credenziali, ma anche al controllo dinamico delle sessioni e alla tempestiva revoca dei token sospetti.

Visualizzazioni: 12