Nuova campagna di phishing a due fasi sfrutta strumenti Microsoft a danno degli utenti: come difendersi

Una nuova campagna di phishing, sofisticata e subdola, sta mettendo in allarme gli esperti di sicurezza informatica. Gli attaccanti sfruttano strumenti Microsoft come Visio e SharePoint per orchestrare un attacco in due fasi, progettato per rubare le credenziali degli utenti, il tutto con un’efficacia impressionante. La tecnica si basa sull’invio di file alle vittime apparentemente innocui che, una volta aperti, reindirizzano gli utenti verso pagine con cui viene perpetrato a tutti gli effetti il phishing. Questi siti simulano i portali di accesso di Microsoft 365, inducendo gli utenti a fornire le proprie credenziali. La natura stratificata di questo nuovo attacco informatico consente di eludere molti sistemi di sicurezza tradizionali, sfruttando la fiducia che solitamente gli utenti ripongono in piattaforme ufficiali, considerate generalmente affidabili. Capire come funziona questo tipo di truffa e adottare le contromisure necessarie è fondamentale per proteggere i propri dati.

Come funziona la campagna di phishing a due fasi

Analizziamo più nel dettaglio come funziona la campagna di phishing a due fasi che sta preoccupando così tanto alcuni esperti di cybersecurity.

Nello specifico, i malintenzionati utilizzano file con estensione .vsdx, propri di Microsoft Visio, uno strumento spesso impiegato per creare diagrammi professionali. Nonostante i file Visio siano stati raramente utilizzati in campagne di phishing precedenti, gli attaccanti li hanno ora trasformati in un mezzo per nascondere URL dannosi. Questi file vengono condivisi tramite e-mail che sembrano provenire da fonti affidabili, come colleghi o partner aziendali. Per aumentare la credibilità, spesso gli aggressori compromettono account reali per inviare questi messaggi, superando così i controlli di autenticazione e inducendo le loro potenziali vittime (e, di riflesso, i loro sistemi informatici) a considerarli sicuri.

Una volta che il file Visio allegato viene aperto, si viene invitati a cliccare il pulsante “Visualizza documento” tenendo premuto il tasto Ctrl mentre viene fatto clic sul pulsante, una procedura manuale che consente di bypassare i sistemi di sicurezza automatizzati. A questo punto, l’utente viene indirizzati a una pagina di phishing che replica fedelmente l’interfaccia di login di Microsoft 365. Inserendo le proprie credenziali, si perde l’accesso al proprio account, che a questo punto diventa utilizzabile dai criminali informatici per perpetrare ulteriori attacchi.

L’attacco si palesa anche attraverso l’uso di Microsoft SharePoint, un software sviluppato dal colosso di Redmond che permette la realizzazione e distribuzione di siti Web usati prevalentemente per scopi aziendali (ma che volendo possono anche essere distribuiti in Rete). Qui gli aggressori ospitano file dannosi, rendendo ancora più difficile per i sistemi di sicurezza riconoscere l’inganno. Incorporando file .eml o URL all’interno delle e-mail e dei documenti, poi, gli attaccanti sfruttano la reputazione delle piattaforme Microsoft per superare praticamente qualsiasi controllo di sicurezza.

Come proteggersi dalla campagna phishing su Microsoft 365

Se vi state chiedendo come difendervi dalla campagna di phishing a due fasi, sappiate che, come suggeriscono gli esperti di Perception-Point, è fondamentale adottare soluzioni avanzate di sicurezza informatica. Questo vale soprattutto se usate software di Microsoft in ambito aziendale, visto che è difatti quest’ultimo il “terreno” in cui l’attacco si è sviluppato e diffuso.

Gli esperti raccomandano in particolare l’uso di sistemi di rilevamento dinamico degli URL, che analizzano i link in tempo reale per identificare quelli dannosi. Altre misure efficaci includono l’implementazione di modelli di rilevamento dei file sospetti e l’adozione di autenticazioni più robuste per limitare l’impatto degli account compromessi. Da non sottovalutare, inoltre, l’educazione del personale aziendale nell’evitare le minacce informatiche che, seppur possa comportare un dispendio economico non indifferente, è essenziale per evitare intromissioni nei sistemi aziendali da parte dei criminali informatici.