Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
Una campagna phishing denominata EvilTokens sta colpendo organizzazioni negli Stati Uniti e in Europa utilizzando una tecnica definita "ghost phishing". Il vettore d'attacco sfrutta email che contengono link verso pagine web il cui contenuto malevolo viene caricato solo dopo la decrittografia dinamica nel browser della vittima.
Vettore: Email con link a pagine HTML che utilizzano tecniche di offuscamento JavaScript Target: Aziende medio-grandi nei settori finance, technology e manufacturing Geografia: Stati Uniti, Europa occidentale (focus su Italia, Germania, Regno Unito) Tattica MITRE ATT&CK: T1566 (Phishing), T1189 (Drive-by Compromise)
I filtri antispam tradizionali basati su scansione statica del contenuto non riescono a rilevare questa minaccia perché il codice malevolo non è presente nel momento dell'analisi. La pagina appare come un normale documento HTML vuoto o con contenuto legittimo, e solo l'esecuzione JavaScript nel client della vittima attiva il payload finale.
La campagna EvilTokens utilizza un pattern sofisticato che sfrutta le limitazioni architetturali dei gateway email tradizionali. L'attacco inizia con email di phishing che si spacciano per comunicazioni aziendali legittime: fatture, documenti HR, notifiche di servizio.
Il link contenuto nell'email punta a una pagina ospitata su domini compromessi o servizi di cloud storage legittimi (Google Drive, Dropbox). La pagina HTML caricata contiene codice JavaScript offuscato che implementa un meccanismo di decrittografia dinamica.
Quando la vittima apre il link nel browser, il codice JavaScript esegue le seguenti operazioni:
Questa tecnica è particolarmente efficace perché i filtri antispam analizzano il contenuto email e gli allegati in un contesto server-side, dove il codice JavaScript non viene eseguito. La pagina appare come HTML benigno durante la scansione.
| Tipo IOC | Descrizione |
|---|---|
| Dominio sospetti | Domini recently registered con pattern di typo-squatting |
| URL pattern | Presenza di parametri di query con contenuto base64 |
| Comportamento JS | Codice che effettua fetch verso domini terzi |
| Payload network | Comunicazioni verso IP non standard per il business |
La campagna EvilTokens mostra una preferenza per settori con elevato valore delle credenziali e infrastrutture IT complesse:
| Dimensione | Livello Rischio | Motivazione |
|---|---|---|
| Grandi imprese (>1000 dipendenti) | Alto | Infrastrutture complesse, più punti di accesso, alto valore dei dati |
| Medie imprese (250-1000) | Alto | Spesso targetizzate per BEC, risorse security limitate |
| PMI (50-250) | Medio-Alto | Minore consapevolezza security, protezioni base |
| Micro imprese (<50) | Medio | Meno targetizzate ma più vulnerabili |
Il focus della campagna è sulle organizzazioni operanti in:
Il pattern suggerisce un'operazione criminale organizzata con capacità di linguistic adaptation per diverse lingue europee.
Il ghost phishing rappresenta un'evoluzione significativa rispetto alle tecniche tradizionali. Per comprendere il salto qualitativo, è utile analizzare l'evoluzione:
| Era | Tecnica | Rilevabilità |
|---|---|---|
| 2010-2015 | Email con allegati malware | Alta (signature-based) |
| 2015-2020 | Phishing con URL diretto | Media (URL reputation) |
| 2020-2024 | QR phishing, OAuth consent | Media-Bassa |
| 2024-oggi | Ghost phishing, HTML smuggling | Bassa |
HTML Smuggling (2020-2023): Tecnica che nasconde il malware in HTML, sbloccato dal browser. Rilevabile tramite analisi del contenuto HTML. Il ghost phishing va oltre nascondendo l'intera pagina di phishing.
Zero-font Attack: Utilizza font invisibili per ingannare i filtri. Rilevabile con analisi font. Il ghost phishing non dipende da trick visuali ma da logica JavaScript.
Callback Phishing: Richiede interazione telefonica. Più complesso da eseguire su larga scala. Il ghost phishing mantiene la semplicità del phishing email.
I report ENISA e NIST del 2025 indicano un incremento del 340% nelle tecniche di phishing che sfruttano JavaScript dinamico. Il ghost phishing rappresenta circa il 15% di queste nuove varianti, con trend in crescita per il 2026.
Le soluzioni moderne di email security che combinano più livelli di protezione sono essenziali:
MailSniper offre protezione inbound e outbound con URL analysis real-time e sandboxing degli allegati, integrando questi livelli di difesa in un'unica piattaforma.
Nei prossimi 3-6 mesi prevediamo:
Le organizzazioni che non aggiornano le proprie difese email entro i prossimi 6 mesi saranno significativamente esposte a questa categoria di minacce.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiCampagna di phishing documentata nel 2026 usa email fraudolente spacciate per comunicazioni ufficiali dell'Interpol con linguaggio formale e riferimenti legali. Analisi tecnica completa.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.