Security

Phishing device code AI: campagna in escalation

3 min di lettura

Riepilogo

Microsoft Defender Security Research ha descritto una campagna di phishing su larga scala che abusa del flusso OAuth device code usando esche generate con AI, generazione dinamica dei codici e infrastruttura backend automatizzata. La campagna aumenta il rischio per le organizzazioni perché migliora i tassi di successo degli attaccanti, aggira i modelli di rilevamento tradizionali e consente il furto di token, la persistenza tramite regole della posta in arrivo e la ricognizione con Microsoft Graph.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha reso nota un'importante evoluzione del phishing device code, mostrando come gli attaccanti stiano combinando AI generativa, automazione e infrastruttura ospitata nel cloud per compromettere account Microsoft su larga scala. Per i team di sicurezza e gli amministratori di Microsoft 365, questo è rilevante perché la campagna prende di mira flussi di autenticazione legittimi invece di rubare direttamente le password, rendendo il rilevamento più difficile con i controlli tradizionali.

Cosa c'è di nuovo in questa campagna

Secondo Microsoft Defender Security Research, l'attività si basa su precedenti tecniche di phishing device code ma aggiunge diversi progressi importanti:

  • Esche di phishing abilitate dall'AI: Gli attaccanti hanno usato AI generativa per creare email altamente personalizzate legate a ruoli lavorativi e scenari aziendali come fatture, RFP e flussi di lavoro di produzione.
  • Generazione dinamica del device code: Invece di affidarsi a codici pre-generati che scadono in 15 minuti, il device code viene creato solo quando l'utente fa clic sul link di phishing.
  • Infrastruttura cloud automatizzata: I threat actor hanno usato piattaforme come Railway, Vercel, Cloudflare Workers e AWS Lambda per distribuire infrastrutture di breve durata e catene di reindirizzamento.
  • Traffico che si mimetizza: I reindirizzamenti tramite servizi cloud affidabili aiutano l'attività a evitare semplici blocklist e difese basate sulla reputazione.
  • Abuso dei token dopo la compromissione: Una volta che la vittima completa il flusso di accesso device, gli attaccanti usano il token per esfiltrare email, creare regole della posta in arrivo e svolgere ricognizione con Microsoft Graph.

Perché è diverso

Il phishing tradizionale di solito cerca di acquisire credenziali. In questo caso, l'attaccante induce l'utente ad approvare una sessione di accesso device Microsoft legittima avviata dall'attaccante. Poiché l'autenticazione avviene sulla vera pagina di accesso device di Microsoft, gli utenti potrebbero essere meno sospettosi e la MFA può essere meno efficace se la sessione non è fortemente vincolata al contesto originale.

Microsoft collega inoltre questa tendenza a EvilToken, un toolkit phishing-as-a-service che alimenta un abuso più ampio del device code. L'uso di automazione e AI rappresenta un notevole passo avanti rispetto alla campagna Storm-2372 documentata nel 2025.

Impatto sugli amministratori IT

I team di sicurezza e identità dovrebbero aspettarsi:

  • Email di phishing più convincenti rivolte a utenti ad alto valore
  • Maggiore abuso di flussi OAuth e di accesso Microsoft legittimi
  • Compromissione basata su token senza furto di password
  • Persistenza tramite regole dannose della posta in arrivo e reindirizzamento nascosto delle email
  • Ricognizione sulla struttura organizzativa tramite Microsoft Graph

Azioni consigliate

Gli amministratori dovrebbero rivedere le linee guida di mitigazione di Microsoft e dare priorità a:

  • Monitoraggio di attività sospette di autenticazione device code
  • Indagine su regole della posta in arrivo inattese e modelli di accesso basati su token
  • Rafforzamento di Conditional Access e dei criteri di rischio di accesso, ove possibile
  • Formazione degli utenti affinché trattino come sospetti i prompt di accesso device non richiesti
  • Hunting di reindirizzamenti sospetti, domini di impersonificazione e infrastrutture di phishing ospitate nel cloud

Questa ricerca ricorda che le difese contro il phishing devono ora tenere conto dell'abuso di flussi di autenticazione legittimi, non solo di false pagine di accesso e password rubate.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
device code phishingMicrosoft DefenderOAuthtoken theftphishing

Articoli correlati

Security

Storm-1175 e Medusa ransomware: asset web nel mirino

Microsoft Threat Intelligence avverte che Storm-1175 sta sfruttando rapidamente sistemi esposti su Internet e vulnerabili per distribuire Medusa ransomware, talvolta entro 24 ore dall’accesso iniziale. L’attenzione del gruppo per falle appena divulgate, web shell, strumenti RMM e rapidi movimenti laterali rende fondamentali per i difensori la velocità di patching, l’exposure management e il rilevamento post-compromissione.

Security

Cyberattacchi AI: minacce accelerate nella catena

Microsoft avverte che gli attori delle minacce stanno ora integrando l’AI nell’intero ciclo di vita del cyberattacco, dalla ricognizione e dal phishing fino allo sviluppo di malware e alle operazioni post-compromissione. Per i difensori, questo significa attacchi più rapidi e precisi, tassi di successo del phishing più elevati e una crescente necessità di rafforzare identità, protezioni MFA e visibilità sulle superfici di attacco guidate dall’AI.

Security

Webshell PHP con cookie su Linux: elusione

Microsoft avverte che gli attori delle minacce stanno usando cookie HTTP per controllare webshell PHP negli ambienti di hosting Linux, aiutando il codice malevolo a restare inattivo finché non sono presenti specifici valori dei cookie. La tecnica riduce la visibilità nei log di routine, supporta la persistenza tramite cron job e sottolinea la necessità di un monitoraggio più efficace, protezione web e rilevamento endpoint sui carichi di lavoro Linux ospitati.

Security

Compromissione supply chain Axios npm: guida

Microsoft ha avvisato che le versioni npm dannose di Axios 1.14.1 e 0.30.4 sono state usate in un attacco alla supply chain attribuito a Sapphire Sleet. Le organizzazioni che usano i pacchetti interessati dovrebbero ruotare subito i segreti, eseguire il downgrade a versioni sicure e verificare eventuali compromissioni su endpoint degli sviluppatori e sistemi CI/CD.

Security

Sicurezza infrastrutture critiche: preparazione 2026

Microsoft afferma che il modello di minaccia per le infrastrutture critiche è passato da attacchi opportunistici ad accessi persistenti basati sull’identità, pensati per causare future interruzioni. Per i responsabili IT e della sicurezza, il messaggio è chiaro: ridurre l’esposizione, rafforzare l’identità e validare subito la preparazione operativa, mentre aumentano regolamentazioni e attività degli stati nazione.

Security

Sicurezza AI per CISO: guida pratica Microsoft

Microsoft consiglia ai CISO di proteggere i sistemi AI usando gli stessi controlli fondamentali già applicati a software, identità e accesso ai dati. La guida evidenzia il principio del privilegio minimo, le difese contro il prompt injection e l’uso della stessa AI per individuare problemi di autorizzazione prima che lo facciano utenti o attaccanti.