Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli hacker stanno utilizzando un nuovo schema per impossessarsi degli account Microsoft 365. Il metodo si basa sull'autorizzazione tramite flusso di codice dispositivo, che convince le vittime a concedere volontariamente l'accesso ai propri account. Alla base c'è sempre un inganno che parte dalla mancata consapevolezza del rischio.
Truffatori e gruppi di hacker affiliati a stati nazionali hanno iniziato a sfruttare in modo massiccio un nuovo schema per impossessarsi degli account Microsoft 365. Invece di rubare le password, gli aggressori convincono le vittime a concedere volontariamente l’accesso ai propri account tramite il meccanismo di autorizzazione ufficiale di Microsoft. L’attacco utilizza link, codici QR e false notifiche relative a documenti, bonus o controlli di sicurezza.
Gli esperti di Proofpoint hanno segnalato un forte aumento del numero di tali campagne a partire da settembre 2025. In precedenza, gli attacchi che utilizzavano i cosiddetti codici dispositivo erano rari e venivano impiegati principalmente in operazioni mirate. Ora, questo schema viene utilizzato da diversi gruppi, tra cui il TA2723, motivato da interessi economici, e sospetti cyberspie legate alla Cina.
L’attacco si basa sul meccanismo OAuth Device Code Flow, creato da Microsoft per l’accesso agli account su dispositivi con capacità di input limitate, come televisori o decoder. L’utente riceve un codice speciale e lo inserisce nella pagina di accesso ufficiale di Microsoft per confermare l’accesso. Una volta confermato, il servizio rilascia un token di accesso.
Gli hacker hanno imparato a sfruttare questa procedura. La vittima riceve un’e-mail contenente un link, un pulsante o un codice QR. Il messaggio può essere camuffato da notifica relativa a un nuovo documento, un bonus, benefit aziendali o una richiesta di riautorizzazione. Dopo aver cliccato sul link, l’utente viene reindirizzato a un sito web fasullo, dove riceve un codice e le istruzioni per inserirlo sul portale Microsoft ufficiale. In questo modo, l’hacker ottiene l’accesso all’account.
Una delle campagne più note è stata un’email con oggetto “Bonus Salario + Report sui Benefit Aziendali 25″. Agli utenti veniva promesso un documento con informazioni su bonus e benefit.
Un link nell’email conduceva al sito web dei truffatori, progettato per assomigliare al portale aziendale della vittima. Dopo aver inserito il proprio indirizzo email, al visitatore veniva mostrata una finestra con un “codice di autenticazione a più fattori” e veniva reindirizzato a microsoft.com/devicelogin. Inserendo il codice, il controllo dell’account Microsoft 365 veniva di fatto ceduto ai truffatori.
Il gruppo TA2723 ha utilizzato uno schema simile nell’ottobre del 2025. Alle vittime venivano inviate e-mail relative a un presunto estratto conto aggiornato. Dopo aver cliccato sul pulsante “Apri”, l’utente veniva indirizzato a una pagina per la generazione di un codice monouso e successivamente reindirizzato al servizio ufficiale di Microsoft per confermare l’accesso.
Per questo tipo di attacchi, i malintenzionati utilizzano attivamente strumenti già pronti all’uso. Tra questi, gli esperti hanno evidenziato i toolkit SquarePhish2 e Graphish. Il primo consente di automatizzare le campagne di phishing utilizzando codici QR e codici di autorizzazione dei dispositivi Microsoft. Il secondo permette di creare pagine di accesso false e di intercettare le sessioni degli utenti tramite un server proxy inverso.
Proofpoint è particolarmente preoccupata per la crescente attività di gruppi affiliati a stati nazionali. Da gennaio 2025, gli specialisti hanno registrato numerose campagne di spionaggio informatico che utilizzano il phishing tramite codice sorgente.
Proofpoint tiene traccia di uno di questi gruppi con il nome di UNK_AcademicFlare. A partire da settembre 2025, gli aggressori hanno utilizzato account di posta elettronica compromessi di organizzazioni governative e militari per contattare università, think tank e aziende di trasporto negli Stati Uniti e in Europa. Inizialmente, la vittima riceveva un’e-mail innocua e intavolava una corrispondenza professionale, per poi essere invitata a visualizzare un documento tramite un link. Il link conduceva a un falso servizio OneDrive ospitato su Cloudflare Workers, dove all’utente veniva chiesto di copiare un codice e confermare l’accesso tramite il portale ufficiale di Microsoft.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]