I criminali informatici hanno trovato un modo ingegnoso per far sembrare i siti di phishing delle autentiche pagine di login, riuscendo così a rubare con successo le credenziali Microsoft, avvertono gli esperti.
I ricercatori di Push Security hanno recentemente pubblicato un report dettagliato sul funzionamento della truffa, spiegando come gli attaccanti abbiano creato pagine di accesso false che imitavano perfettamente quelle di Microsoft 365.
Invece di indirizzare direttamente le vittime al sito contraffatto - mossa che probabilmente sarebbe stata intercettata e bloccata rapidamente dalle soluzioni di sicurezza - i criminali hanno sfruttato una funzionalità Microsoft chiamata Active Directory Federation Services (ADFS), che le aziende usano normalmente per collegare i propri sistemi interni ai servizi Microsoft.
Impostando un proprio account Microsoft e configurandolo con ADFS, i criminali sono riusciti a ingannare il servizio, facendo sì che gli utenti venissero reindirizzati al sito di phishing. Il link risultava particolarmente credibile perché iniziava con un dominio autentico come “outlook.office.com”.
Inoltre, l’indirizzo malevolo non veniva distribuito tramite email, ma attraverso malvertising. Le vittime, cercando “Office 265” (presumibilmente un errore di digitazione), venivano indirizzate a una finta pagina di login di Office. La campagna sfruttava anche un finto blog di viaggi – bluegraintours[.]com – come passaggio intermedio per offuscare l’attacco.
L’intera operazione era particolarmente insidiosa: il link sembrava provenire da Microsoft, superava i controlli di molti strumenti di sicurezza e non dipendeva dalla posta elettronica, eludendo così i tradizionali filtri anti-phishing. Ancora più grave, la pagina di atterraggio era in grado di bypassare l’autenticazione a più fattori (MFA), aumentando notevolmente l’efficacia dell’attacco.
Per evitare che simili truffe causino danni concreti, i team IT dovrebbero bloccare gli annunci pubblicitari o almeno monitorare il traffico proveniente da essi, prestando particolare attenzione ai redirect sospetti da pagine di login Microsoft verso domini sconosciuti.
Infine, agli utenti viene raccomandato di fare attenzione quando digitano i termini di ricerca: un semplice errore di battitura può portare a un annuncio malevolo e, di conseguenza, al compromesso del dispositivo o al furto dell’account.
Via BleepingComputer