Security

Campagna phishing AiTM contro utenti Microsoft 365

3 min di lettura

Riepilogo

Microsoft ha descritto una campagna di phishing adversary-in-the-middle (AiTM) su larga scala che ha usato false indagini sul codice di condotta per rubare token di autenticazione. L’attacco ha combinato social engineering sofisticato, pagine CAPTCHA intermedie e un flusso di accesso Microsoft legittimo, evidenziando perché contano protezioni resistenti al phishing e difese email più solide.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha scoperto una sofisticata campagna di phishing che ha preso di mira più di 35.000 utenti in oltre 13.000 organizzazioni in 26 Paesi. Per gli amministratori di Microsoft 365 e della sicurezza, questo è rilevante perché l’attacco ha utilizzato una tecnica adversary-in-the-middle (AiTM) per catturare i token di autenticazione, che può aggirare MFA non resistente al phishing e fornire agli attaccanti accesso immediato agli account.

Cosa c’è di nuovo

Tra il 14 e il 16 aprile 2026, Microsoft ha osservato un’operazione di phishing multi-stage che utilizzava esche legate a codice di condotta e compliance interna. I messaggi erano progettati per sembrare comunicazioni interne legittime ed erano inviati in email autenticate da domini controllati dagli attaccanti tramite un servizio legittimo di recapito email.

Le principali caratteristiche della campagna includevano:

  • Email curate a tema compliance con oggetti urgenti su cattiva condotta dei dipendenti o casi di non conformità
  • Allegati PDF che invitavano i destinatari a esaminare i materiali del caso
  • Più pagine intermedie incluse verifiche CAPTCHA e passaggi di “verifica” intermedi
  • Un prompt finale di accesso Microsoft incorporato in un flusso AiTM per intercettare i token di sessione
  • Impatto esteso in tutti i settori, in particolare Healthcare, Financial Services, Professional Services e Technology

Microsoft ha affermato che la maggior parte delle vittime si trovava negli Stati Uniti, ma la campagna ha colpito organizzazioni a livello globale.

Perché questo attacco è significativo

A differenza del phishing di credenziali di base, gli attacchi AiTM fanno da proxy alla sessione di autenticazione in tempo reale. Ciò significa che anche quando gli utenti completano MFA, gli attaccanti possono comunque acquisire i token e riutilizzarli per accedere agli account.

Questa campagna mostra anche come si stanno evolvendo le tattiche di phishing:

  • Gli attaccanti hanno usato template HTML in stile enterprise per aumentare la credibilità
  • Hanno sfruttato pressione temporale e accuse in stile HR per spingere ad agire rapidamente
  • CAPTCHA e pagine intermedie hanno aiutato a filtrare l’analisi di sicurezza automatizzata
  • Il flusso finale di accesso appariva abbastanza legittimo da ridurre i sospetti degli utenti

Impatto per gli amministratori IT

I team di sicurezza dovrebbero considerarlo un promemoria del fatto che la sola consapevolezza degli utenti non è sufficiente. Le organizzazioni hanno bisogno di difese stratificate su email, identità, endpoint e protezione web.

Gli amministratori dovrebbero rivedere:

  • Le configurazioni di Exchange Online Protection e Microsoft Defender for Office 365
  • Le policy anti-phishing e le protezioni contro l’impersonation
  • Il supporto SmartScreen nei browser gestiti
  • Network protection in Windows per bloccare destinazioni web malevole
  • La copertura di rilevamento e risposta per attività di accesso sospette e abuso dei token

Prossimi passaggi consigliati

I team IT dovrebbero intraprendere le seguenti azioni:

  1. Formare gli utenti sulle esche di phishing legate a HR, compliance e normative
  2. Eseguire simulazioni di phishing con l’attack simulation training di Microsoft Defender for Office 365
  3. Rafforzare le impostazioni di sicurezza email e rivedere le raccomandazioni delle policy nel portale di sicurezza Microsoft
  4. Dare priorità all’autenticazione resistente al phishing dove possibile
  5. Cercare indicatori di compromissione e indagare comportamenti di sessione insoliti collegati agli eventi di accesso

Questa campagna rafforza una lezione chiave di sicurezza: il phishing moderno non riguarda più solo le password. Difendersi dal furto di token richiede protezioni dell’identità più solide, migliore sicurezza email e formazione continua degli utenti.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Articoli correlati

Security

Campagna ClickFix macOS diffonde infostealer

Microsoft ha identificato una nuova campagna in stile ClickFix che prende di mira gli utenti macOS con false istruzioni di risoluzione dei problemi e utility ospitate su blog e piattaforme di contenuti. Invece di scaricare app, le vittime vengono indotte a eseguire comandi nel Terminal che aggirano i controlli tipici delle app su macOS e distribuiscono infostealer come Macsync, SHub Stealer e AMOS.

Security

CVE-2026-31431: minaccia escalation root Linux

Microsoft ha fornito dettagli su CVE-2026-31431, una vulnerabilità Linux ad alta gravità di local privilege escalation che può concedere accesso root sulle principali distribuzioni e sui carichi di lavoro ospitati nel cloud. Il problema è rilevante perché colpisce ambienti con kernel condiviso come container e Kubernetes, aumentando il rischio di container escape, movimento laterale e compromissione dell’host se i sistemi non vengono corretti rapidamente.

Security

Microsoft Agent 365 GA: sicurezza e controlli AI

Microsoft Agent 365 è ora generalmente disponibile per i clienti commerciali, offrendo ai team IT e di sicurezza un piano di controllo unificato per osservare, governare e proteggere gli agenti AI in Microsoft 365, sugli endpoint e negli ambienti cloud. Nuove funzionalità in anteprima estendono inoltre la visibilità a shadow AI, agenti locali Windows, piattaforme di agenti multicloud e controlli basati su criteri tramite Defender e Intune.

Security

Panorama minacce email Q1 2026: insights Microsoft

Microsoft segnala 8,3 miliardi di email di phishing rilevate nel Q1 2026, con il phishing tramite QR code più che raddoppiato e campagne protette da CAPTCHA in rapida evoluzione. I dati sono rilevanti per i team di sicurezza perché gli attaccanti si stanno spostando verso il furto di credenziali basato su link, mentre le attività di disruption contro Tycoon2FA dimostrano che un’azione coordinata può ridurre l’impatto del phishing.

Security

Aggiornamenti Microsoft Security per Agent 365

Microsoft ha annunciato nuove funzionalità di sicurezza per Agent 365, Defender for Cloud, GitHub Advanced Security e Microsoft Purview. Gli aggiornamenti puntano a migliorare la visibilità sull’attività degli agenti AI, rafforzare la protezione dal codice al runtime e accelerare le indagini sulla sicurezza dei dati per i team IT e di sicurezza.

Security

Revisioni del rischio CISO: 8 best practice Microsoft

Microsoft ha pubblicato un framework pratico per aiutare CISO e responsabili della sicurezza a condurre revisioni del rischio più efficaci in un contesto di minacce informatiche sempre più alimentate dall’AI. Le linee guida si concentrano su otto aree di revisione — da asset e applicazioni fino ad autenticazione, autorizzazione e isolamento di rete — per aiutare le organizzazioni a passare da una risposta reattiva a una riduzione proattiva del rischio.