Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Il cybercrime prende di mira i migliori dirigenti su Office 365 con lo schema di bypass MFA

Redazione RHC : 6 Settembre 2022 07:43

Uno schema di compromissione della posta elettronica aziendale rivolto a CEO e CFO che utilizzano su Microsoft Office 365 combina il phishing con un attacco man-in-the-middle per sconfiggere l’autenticazione a più fattori.

Questi attacchi sfruttano una supervisione della progettazione di Microsoft 365 che consente ai malintenzionati di compromettere gli account con MFA abilitato e ottenere la persistenza nei sistemi delle vittime aggiungendo un nuovo metodo di autenticazione compromesso che consente loro di tornare in qualsiasi momento. 

Questo secondo i ricercatori di sicurezza di Mitiga, che a quanto pare hanno individuato sia la campagna che il difetto di Microsoft 365.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


“Sfruttando questo accesso illimitato, gli aggressori monitorano gli account e-mail della vittima fino a quando sta per verificarsi una transazione sostanziale, quindi inviano un’e-mail fraudolenta chiedendo il cambio del conto bancario di destinazione a un account che controlla gli aggressori, rubando di fatto quei fondi”

Hanno spiegato la società di risposta agli incidenti, aggiungendo che questa campagna è ormai diffusa su Internet e mira a grandi transazioni fino a diversi milioni di dollari ciascuna.

In primo luogo, la vittima riceve un’e-mail di phishing che sembra provenire da DocuSign e ha persino un indirizzo “docusign.net” legittimo, ma è falso. I ricercatori di Mitiga hanno notato che Microsoft ha contrassegnato questa e-mail come tentativo di phishing, ma non è stata bloccata a causa di un’errata configurazione nell’ambiente client.

L’e-mail fasulla di DocuSign include un collegamento “Revisione documento”, che indirizza la vittima a un server controllato da un utente malintenzionato (questo si trovava a Singapore). Dopo aver fatto clic sul collegamento dannoso, viene chiesto di accedere al proprio account Microsoft utilizzando il nome utente e la password sul dispositivo di autenticazione a più fattori per autorizzare l’accesso. 

In realtà, il nome utente e la password erano stati raccolti dal server e inviati a Microsoft, generando la richiesta di autorizzazione MFA che è stata accettata, registrando l’utente e generando un cookie di sessione che al suo ritorno dai server Microsoft è stato intercettato e utilizzato dai malintenzionati.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici
Di Redazione RHC - 29/07/2025

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...

Fire Ant all’attacco: come un bug in vCenter apre le porte all’inferno IT
Di Redazione RHC - 28/07/2025

Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...

Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati
Di Redazione RHC - 28/07/2025

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...

PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari
Di Redazione RHC - 28/07/2025

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...

BreachForums torna online! 7,3 milioni di post e 340k utenti ripristinati
Di Redazione RHC - 28/07/2025

le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...