Whisper 2FA: il nuovo kit di phishing che ruba le credenziali di Microsoft 365

Secondo una nuova ricerca di Barracuda Networks, un nuovo kit particolarmente insidioso e persistente di Phishing-as-a-Service (PhaaS) sta rubando credenziali e token di autenticazione agli utenti di Microsoft 365. Gli esperti di Barracuda stanno monitorando questa nuova minaccia da luglio 2025 e l’hanno denominata Whisper 2FA.

I ricercatori nell’ultimo mese, hanno rilevato quasi un milione di attacchi Whisper 2FA rivolti agli account all’interno di diverse campagne di phishing su larga scala: una cifra che rende Whisper il terzo kit di PhaaS più diffuso dopo Tycoon ed EvilProxy.

L’analisi tecnica di Barracuda dimostra che la funzionalità di Whisper 2FA è sia avanzata sia adattabile. Le sue caratteristiche innovative includono loop continui per rubare i token di autenticazione, diversi livelli di camuffamento e tattiche ingegnose per ostacolare l’analisi del codice malevolo e dei dati rubati. Una minaccia concreta per le organizzazioni che si sta evolvendo rapidamente.

Stando a quanto emerso, le caratteristiche principali di Whisper 2FA comprendono:

• Loop di furto delle credenziali. Whisper 2FA può ripetere continuamente il processo di furto delle credenziali di un account finché gli aggressori non sono certi di aver ottenuto un token di autenticazione a più fattori (MFA) funzionante. Per i difensori, ciò significa che nemmeno i codici scaduti o errati riescono a fermare l’attacco, poiché il kit di phishing continua a richiedere alla vittima di reinserire i propri dati e ricevere un nuovo codice fino a quando gli aggressori non ne ottengono uno funzionante. Inoltre, Whisper 2FA è stato progettato per adattarsi a qualsiasi metodo MFA utilizzato.
• Tattiche complesse per eludere il rilevamento e l’analisi. Queste includono più livelli di offuscamento, come la codifica e la crittografia del codice di attacco, l’impostazione di trappole per gli strumenti di analisi e il blocco delle scorciatoie da tastiera comunemente utilizzate per l’ispezione. Ciò rende difficile per gli addetti alla sicurezza e gli strumenti di difesa analizzare l’attività di Whisper 2FA e rilevare automaticamente azioni sospette e dannose.
• Una tattica di phishing versatile. Il form di phishing di Whisper 2FA invia tutti i dati inseriti dalla vittima ai cyber criminali, indipendentemente dal pulsante premuto dall’utente. I dati rubati vengono rapidamente manipolati e crittografati, rendendo difficile per chiunque monitori la rete rendersi immediatamente conto che i dati di accesso sono stati sottratti.

Il kit di phishing Whisper 2FA sta progredendo rapidamente sia in termini di complessità tecnica sia di strategie anti-rilevamento. L’analisi di Barracuda evidenzia come le prime varianti del kit presentassero commenti testuali aggiunti dagli sviluppatori, alcuni livelli di offuscamento e tecniche anti-analisi che si concentravano principalmente sulla disabilitazione del menu contestuale (tasto destro del mouse), utilizzato nell’ispezione del codice.

Al contrario, le varianti più recenti del kit individuate da Barracuda sono prive di commenti, l’offuscamento è diventato più denso e stratificato e sono state aggiunte nuove protezioni per rendere più difficile ai difensori analizzare o manomettere il sistema. Tra queste figurano trucchi per rilevare e bloccare gli strumenti di debugging, disabilitare le scorciatoie utilizzate dagli sviluppatori e mandare in tilt gli strumenti di ispezione. Inoltre, questa variante consente di convalidare i token di autenticazione in tempo reale attraverso il sistema di comando e controllo degli aggressori.

“Le caratteristiche e le funzionalità di Whisper 2FA dimostrano come i kit di phishing si siano evoluti da semplici strumenti per il furto di credenziali a sofisticate piattaforme di attacco”, afferma Saravanan Mohankumar, Manager, Threat Analysis team di Barracuda. “Combinando l’intercettazione dell’autenticazione multifattoriale in tempo reale, più livelli di offuscamento e tecniche anti-analisi, Whisper 2FA ostacola ulteriormente gli utenti e i team di sicurezza nel rilevamento delle frodi. Per rimanere protette, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, MFA resistente al phishing, monitoraggio continuo e condivisione delle informazioni sulle minacce”.

L’analisi di Whisper 2FA di Barracuda mostra alcune somiglianze con Salty 2FA, un nuovo PhaaS incentrato sul furto delle credenziali M365 segnalato di recente da AnyRun, ma anche notevoli differenze rispetto a rivali più vecchi e affermati come Evil Proxy, tra cui un sistema di furto delle credenziali semplificato e più difficile da rilevare.

Le nuove tecniche di offuscamento dei link malevoli di Tycoon

In un altro report recente, Barracuda ha anche portato alla luce nuove tecniche usate dal kit di Phishing-as-a-Service Tycoon per nascondere link malevoli nelle e-mail. In particolare, queste strategie sono pensate per offuscare, confondere e alterare la struttura dei link o degli URL e ingannare così i sistemi di rilevamento automatico assicurandosi che i link non vengano bloccati. Di seguito, alcuni esempi:

• Inserire una serie di spazi invisibili nel link dannoso, digitando ripetutamente il codice ” ” nella sua barra degli indirizzi;
• Aggiungere al link caratteri insoliti, come un simbolo “Unicode” che assomiglia a un punto ma non lo è;
• Inserire un indirizzo e-mail nascosto o un codice speciale alla fine del link;
• Elaborare un URL solo parzialmente ipertestuale o contenente elementi non validi, come due “https” o l’assenza di “//”, per nascondere la destinazione reale del link, assicurandosi che la parte attiva sembri innocua;
• Utilizzare il simbolo “@” nell’indirizzo del link. Infatti, tutto ciò che precede “@” viene trattato dai browser come “informazione utente”, quindi gli aggressori inseriscono in questa sezione un testo che appare affidabile e attendibile, come ad esempio “office365”. La destinazione effettiva del link si trova invece dopo il simbolo “@”;
• Utilizzare link web con simboli anomali, come barre rovesciate “” o il simbolo del dollaro “$”, che normalmente non vengono usati negli URL. Questi caratteri possono alterare il modo in cui gli strumenti di sicurezza leggono l’indirizzo, aiutando un link malevolo a sfuggire ai sistemi di rilevamento automatico;
• Creare un URL in cui la prima parte è innocua e ipertestuale, mentre la seconda parte, quella dannosa, appare come un semplice testo. Ma, poiché la parte dannosa non è collegata a nulla, non viene letta correttamente dagli strumenti di sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.