Phishing Device Code Microsoft 365: Il Rischio
Un nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiTeam MailSniper
Autore
Sintesi Intelligence: Abuso di n8n Webhooks per Distribuzione Malware
Dal mese di ottobre 2025, attori malevoli stanno weaponizzando n8n, nota piattaforma di automazione workflow basata su AI, per condurre campagne di phishing sofisticate e distribuire payload malevoli. La tecnica sfrutta l'infrastruttura legittima della piattaforma per bypassare i filtri di sicurezza tradizionali, rendendo le email provenienti da webhook n8n difficilmente distinguibili da traffico legittimo.
I threat actor utilizzano gli endpoint webhook di n8n come punto di distribuzione per link phishing e allegati infetti, approfittando della reputazione affidabile della piattaforma. Questo approccio rappresenta un'evoluzione significativa nelle tecniche di evasione, dove i criminali sfruttano servizi cloud legittimi per neutralizzare le difese basate su reputation.
Il vettore d'attacco si articola in diverse fasi. Inizialmente, i threat actor creano account n8n legittimi (spesso con credenziali rubate o trial) e configurano webhook che fungono da punto di distribuzione. Le email di phishing vengono poi inviate con link che puntano a questi webhook, oppure gli allegati malevoli vengono ospitati temporaneamente tramite workflow n8n automatizzati.
La catena d'attacco tipica segue questo schema:
Le tecniche osservate si allineano a diverse categorie del framework MITRE ATT&CK:
| ID MITRE | Tecnica | Applicazione nel caso n8n |
|---|---|---|
| T1566 | Phishing | Email iniziali con link verso webhook n8n |
| T1071 | Application Layer Protocol | Utilizzo webhook HTTP/HTTPS per C2 |
| T1102 | Web Service | n8n come infrastruttura di distribuzione |
| T1204 | User Execution | Vittima che clicca link o scarica allegato |
| T1059 | Command and Scripting Interpreter | Workflow n8n come strumento di automazione malevola |
Gli IOC da monitorare includono:
La persistenza dell'attacco è garantita dalla natura serverless della piattaforma: anche se un endpoint viene identificato e bloccato, i threat actor possono rapidamente creare nuovi account e workflow.
L'abuso di n8n colpisce trasversalmente diversi settori, con particolare incidenza su:
| Dimensione | Livello Rischio | Fattori Chiave |
|---|---|---|
| Enterprise | Medio-Alto | Stack di sicurezza avanzato, ma superficie d'attacco ampia |
| Mid-Market | Alto | Meno risorse dedicate, target frequente di BEC |
| PMI | Molto Alto | Protezioni base insufficienti, alto tasso di click |
| Microimprese | Critico | Spesso senza protezione email dedicata |
Le campagne documentate colpiscono principalmente organizzazioni in:
La scelta geografica riflette l'adozione di n8n (più diffusa in mercati anglosassoni e nordeuropei) e il valore dei target nel settore tecnologico.
Questa tecnica rappresenta un'evoluzione di approcci già osservati:
| Minaccia | Periodo | Tecnica | Efficacia |
|---|---|---|---|
| Google Drive phishing | 2023-2024 | Hosting malware su Drive | Elevata, ma ora monitorata |
| AWS S3 malware hosting | 2024 | Bucket S3 come C2 | Media, blocchi più facili |
| GitHub Gist abuse | 2024 | Gist per payload | Moderata, filtri attivi |
| n8n webhook abuse | 2025+ | Workflow automation | Alta, evasione elevata |
I threat actor stanno progressivamente abbandonando infrastrutture proprietarie (server C2 dedicati) a favore di servizi cloud legittimi. Questo approccio offre vantaggi tattici significativi:
I dati raccolti mostrano un incremento del 340% nell'utilizzo di servizi di automazione per distribuzione malware nel 2025 rispetto al 2024. n8n rappresenta circa il 15% di questo incremento, con proiezioni di crescita ulteriore.
Una soluzione antispam con analisi comportamentale AI come MailSniper può rilevare pattern anomali nelle email che sfruttano webhook n8n, anche quando il dominio sorgente ha alta reputazione. L'analisi semantica del contenuto e del contesto dell'email complementa i filtri tradizionali basati su reputation.
Nei prossimi 3-6 mesi prevediamo:
Le organizzazioni che utilizzano n8n internamente dovrebbero immediatamente rivedere le policy di utilizzo e implementare controlli specifici per prevenire l'abuso della piattaforma come vettore d'attacco.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiScopri come hacker legati alla Cina usano programmi fiscali falsi per infettare i PC di professionisti e aziende. Una guida per capire il rischio e difenderti senza impazzire.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.