Arriva la “pirateria delle buste paga”! E il bonifico dello stipendio va ai criminali

Secondo un nuovo rapporto di Microsoft Threat Intelligence, il gruppo Storm-2657, mosso da motivazioni finanziarie, sta conducendo attacchi su larga scala contro università e aziende, utilizzando account rubati dai dipendenti per reindirizzare gli stipendi sui propri conti bancari.

Gli esperti definiscono questo tipo di attacco “pirateria delle buste paga”. Durante la campagna, gli aggressori hanno cercato di accedere a piattaforme HR basate su cloud, come Workday, per alterare i dati di pagamento delle vittime.

Un’indagine di Microsoft ha rivelato che la campagna era attiva dalla prima metà del 2025. Gli aggressori hanno utilizzato e-mail di phishing accuratamente progettate per rubare codici di autenticazione a più fattori utilizzando schemi Adversary-in-the-Middle ( AitM ).

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Dopo aver ottenuto le credenziali di accesso, si sono infiltrati nelle caselle di posta dei dipendenti e nei servizi HR aziendali, dove hanno modificato i parametri di pagamento. Per nascondere le loro tracce, Storm-2657 ha creato regole di Outlook che eliminavano automaticamente le notifiche di Workday relative a qualsiasi modifica del profilo.

Microsoft ha registrato almeno 11 compromissioni di account andate a buon fine in tre università. Questi indirizzi sono stati poi utilizzati per inviare migliaia di email di phishing ad altri campus, per un totale di circa 6.000 potenziali vittime in 25 università.

Alcuni messaggi sembravano notifiche di malattia o un’indagine su un incidente nel campus. Gli oggetti includevano “Caso simile al COVID segnalato: controlla lo stato del tuo contatto” o “Segnalazione di cattiva condotta da parte del corpo docente“. Altre email imitavano le email delle risorse umane e contenevano link a documenti presumibilmente ufficiali su retribuzioni e compensi. Google Docs, uno strumento comune in ambito accademico, è stato spesso utilizzato per camuffarsi, rendendo gli attacchi difficili da rilevare.

Una volta ottenuto l’accesso, gli aggressori hanno modificato i profili delle vittime, sostituendo spesso i conti bancari utilizzati per i trasferimenti di stipendio. In alcuni casi, hanno anche aggiunto i propri numeri di telefono come dispositivi MFA , riuscendo così a mantenere il controllo del profilo all’insaputa del proprietario. Queste operazioni sono state registrate nei log di Workday come eventi “Modifica account” o “Gestisci scelte di pagamento“, ma gli utenti non ne sono stati informati a causa dei filtri e-mail.

Microsoft sottolinea che gli attacchi non sono correlati a vulnerabilità dei prodotti Workday in sé. Il problema risiede nella mancanza o nella debolezza della protezione MFA. Pertanto, l’azienda esorta le organizzazioni a migrare verso metodi di autenticazione avanzati e resistenti al phishing: chiavi FIDO2, Windows Hello for Business e Microsoft Authenticator.

Si consiglia agli amministratori di forzare questi metodi in Entra ID e di implementare l’autenticazione senza password.

La pubblicazione di Microsoft delinea le richieste di strumenti di sicurezza in grado di rilevare segnali di intrusione, da regole di posta elettronica sospette a modifiche nei dettagli di pagamento e nuovi dispositivi MFA.

L’azienda riferisce inoltre di aver già contattato alcune organizzazioni interessate, fornendo loro informazioni sui TTP utilizzati e raccomandazioni per ripristinare la sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.