La recente analisi pubblicata da Huntress mette in luce una campagna di attacco sofisticata e su larga scala che ha colpito centinaia di organizzazioni a livello globale.

Il dato più rilevante non è soltanto il numero delle vittime, ma il modello operativo adottato dagli attaccanti: non si tratta di una classica operazione di phishing finalizzata al furto di credenziali, bensì di un attacco strutturato il cui vero obiettivo strategico sono i token di accesso.

In particolare, il monitoraggio avrebbe individuato un’attività di phishing tramite codice di accesso ai dispositivi, che ha preso di mira le identità di Microsoft 365 di oltre 340 organizzazioni negli Stati Uniti, in Canada, Australia, Nuova Zelanda e Germania.

I ricercatori ritengono, inoltre, che gli aggressori abbiano sfruttato Railway, un provider PaaS (Platform-as-a-Service) pensato per il vibe coding e gli sviluppatori, attribuendo l’attacco al gruppo EvilTokens autore dell’omonima piattaforma (Phishing as a Service).

Il ruolo centrale del device code phishing

Alla base della campagna si trova una tecnica nota come device code phishing, che sfrutta un flusso di autenticazione OAuth perfettamente legittimo.

L’attaccante genera un codice dispositivo e induce la vittima a inserirlo su una pagina ufficiale Microsoft. L’utente completa l’accesso senza percepire anomalie, inclusa l’eventuale autenticazione a più fattori.

A quel punto, il sistema rilascia un set di token validi che vengono intercettati dall’attaccante.

Questo approccio consente di aggirare completamente i meccanismi tradizionali di difesa, poiché non avviene alcuna sottrazione diretta di password.

“Il phishing tramite codice dispositivo si differenzia notevolmente da un attacco “adversary-in-the-middle” perché l’attaccante non si trova realmente “nel mezzo, commenta Huntrees, “Piuttosto, utilizza la legittima funzionalità di autenticazione tramite codice dispositivo Microsoft e richiede all’utente di autenticarsi in circostanze che controlla. L’autenticazione a più fattori non è una contromisura efficace contro questo tipo di attacco, poiché la vittima inserisce il codice, poi il nome utente e la password, e infine il codice MFA, se richiesto. L’autenticazione risultante genera un token che l’attaccante può recuperare, annullando di fatto la protezione dell’MFA”.

Token replay e persistenza dell’accesso

Il vero elemento critico infatti emerge nella fase successiva, quando i token ottenuti vengono riutilizzati in un attacco di tipo replay.

I token OAuth funzionano come credenziali temporanee che non richiedono ulteriori verifiche una volta emessi e chiunque li possieda può accedere alle risorse autorizzate.

Questo implica che l’attaccante può operare indisturbato all’interno dell’ambiente Microsoft 365 della vittima, senza attivare controlli di sicurezza basati su password o MFA.

Inoltre, la presenza dei refresh token consente di mantenere l’accesso nel tempo, anche in caso di modifica delle credenziali dell’utente compromesso.

L’abuso delle piattaforme cloud legittime

Un aspetto particolarmente innovativo della campagna è, come accennato prima, l’utilizzo della piattaforma Railway per ospitare l’infrastruttura malevola.

Questo servizio offre ambienti affidabili, scalabili e difficilmente classificabili come sospetti e gli attaccanti sfruttano tali caratteristiche per gestire la raccolta e il riutilizzo dei token, beneficiando di indirizzi IP con ottima reputazione.

Questo rende estremamente complesso distinguere il traffico legittimo da quello malevolo, riducendo l’efficacia dei sistemi di rilevamento tradizionali basati su blacklist.

“La cosa interessante non è che abbiamo colto un hacker mentre digitava i prompt in Railway in tempo reale. Il punto è che le stesse funzionalità del prodotto, progettate per aiutare gli sviluppatori legittimi a lavorare più velocemente, possono anche aiutare gli avversari a industrializzare le infrastrutture di phishing”, spiegano i ricercatori di Huntress.

Una catena di attacco distribuita e resiliente

La campagna si distingue anche per la complessità della catena di distribuzione. Le vittime vengono raggiunte tramite e-mail di phishing altamente personalizzate che simulano comunicazioni aziendali credibili.

I link contenuti nei messaggi attivano una sequenza di reindirizzamenti attraverso servizi di fornitori di sicurezza legittimi (come Cisco, Trend Micro e Mimecast, in modo da eludere i filtri antispam) e siti compromessi fino a condurre l’utente alle landing page finali dell’attacco (ospitate solitamente su istanze Cloudflare workers.dev, ciò permetterebbe agli autori delle minacce di aggirare i filtri dei contenuti web, in quanto Cloudflare risulta una piattaforma affidabile a livello globale).

In pratica, questo approccio multi-hop rende difficile bloccare l’operazione nelle fasi iniziali e dimostra un elevato livello di adattabilità.

Un altro elemento distintivo osservato dai ricercatori è la forte variabilità delle esche utilizzate nella campagna.

I contenuti risultano contestualizzati e coerenti con il settore della vittima, suggerendo l’impiego di strumenti avanzati di automazione e, con ogni probabilità, l’integrazione di tecniche di intelligenza artificiale generativa.

La campagna analizzata rappresenta dunque un chiaro esempio dell’evoluzione delle minacce nel contesto cloud.

Gli attaccanti non cercano più di violare i sistemi attraverso vulnerabilità tecniche evidenti, ma puntano piuttosto a sfruttare gli stessi meccanismi su cui si basa la sicurezza dei sistemi.

In questo scenario, la capacità di monitorare e proteggere i flussi di autenticazione diventa un elemento essenziale per garantire la sicurezza delle organizzazioni.