Phishing Microsoft: Kaspersky scopre una campagna che sfrutta il meccanismo di autenticazione OAuth

Kaspersky ha pubblicato un report su una campagna di phishing in cui gli autori degli attacchi sfruttano il meccanismo di autenticazione di Microsoft. La campagna, condotta dall’inizio di aprile fino alla metà di maggio 2026, si presentava come una comunicazione proveniente da uno studio legale e aveva l’obiettivo di sottrarre le credenziali delle vittime per accedere ai loro dati. In precedenza, Kaspersky aveva già segnalato campagne di phishing che sfruttavano Google Tasks, Google Forms, Bubble e Amazon Simple Email Service.

Il meccanismo di autenticazione di Microsoft, noto come Device Authorization Grant di OAuth 2.0, consente agli utenti di accedere ai propri account Microsoft su dispositivi con funzionalità di input limitate, come le smart TV, inserendo un codice o scansionando un codice QR tramite un altro dispositivo, ad esempio uno smartphone o un PC. Questa funzionalità, se da un lato semplifica l’accesso, dall’altro offre agli hacker l’opportunità di sfruttare il flusso di autenticazione, dirottando potenzialmente gli account e mantenendone il controllo attraverso token di aggiornamento rubati.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Gli autori dell’attacco hanno inviato alle vittime e-mail apparentemente provenienti da uno studio legale, contenenti in allegato un file PDF protetto da password. Dopo aver aperto il documento e inserito la password, alle vittime veniva mostrata una pagina web con un elenco di documenti. Per visualizzarli era necessario cliccare su un link che rimandava a un indirizzo Microsoft legittimo. Tuttavia, i parametri dell’URL erano configurati in modo da reindirizzare l’utente, dopo l’apertura della pagina Microsoft, verso una risorsa di phishing.

Reindirizzamento Microsoft verso pagina di phishing
Il link presente nel documento reindirizza l’utente dalla piattaforma Microsoft a una pagina di phishing progettata per simulare un portale dedicato alla consultazione di documenti legali

La pagina di phishing presentava diversi CAPTCHA, presumibilmente utilizzati per filtrare i bot di sicurezza impiegati per verificare la presenza di minacce sui siti web. Una volta superati i CAPTCHA, l’utente veniva reindirizzato a una pagina finale in cui gli veniva chiesto di copiare un codice monouso. Si trattava dello stesso codice che gli autori dell’attacco avevano già ottenuto avviando autonomamente la procedura di accesso.

Leggi anche:  Le Public Key Infrastructure tradizionali mettono a rischio le identità digitali

Cliccando sul codice monouso visualizzato, questo veniva automaticamente copiato negli appunti e, contemporaneamente, l’utente veniva reindirizzato alla pagina ufficiale e legittima di autenticazione Microsoft, dove gli veniva richiesto di incollare e inserire il codice.

Dopo che l’utente aveva inserito il codice, il processo di autenticazione a più fattori si concludeva e gli aggressori entravano in possesso dei token della sessione. Ciò consentiva loro di leggere e inviare e-mail dalla casella di posta della vittima, sottrarre file da OneDrive e accedere alle conversazioni su Teams.

Gli autori delle minacce non ricorrono sempre al furto di credenziali o all’installazione di malware per accedere a dati sensibili: possono infatti sfruttare a fini malevoli strumenti legittimi. Pertanto, gli utenti devono prestare attenzione non solo quando visitano siti sospetti, ma anche quando navigano su piattaforme ufficiali. Consigliamo ai team aziendali di valutare la necessità operativa del Device Code Flow all’interno della propria infrastruttura aziendale. Se questo meccanismo di autenticazione non è necessario per le operazioni quotidiane, dovrebbe essere disabilitato”, ha commentato Roman Dedenok, Anti-Spam Expert di Kaspersky.

Maggiori informazioni sono disponibili in un articolo pubblicato su Securelist.