Gli attacchi payroll di Storm-2755 colpiscono i dipendenti canadesi

Introduzione

Microsoft Incident Response ha pubblicato nuove analisi su Storm-2755, un attore della minaccia che conduce i cosiddetti attacchi payroll pirate contro utenti canadesi. Per i team IT e di sicurezza, questa campagna è rilevante perché combina SEO poisoning, malvertising e phishing adversary-in-the-middle (AiTM) per dirottare sessioni autenticate e reindirizzare i pagamenti salariali dei dipendenti.

La questione va oltre il Canada: queste tecniche possono essere riutilizzate contro qualsiasi organizzazione che si affida a Microsoft 365 e a piattaforme HR o payroll online.

Cosa c’è di nuovo

Microsoft afferma che Storm-2755 ha utilizzato una catena di attacco distinta, focalizzata su un ampio targeting geografico di utenti canadesi, anziché su un singolo settore.

Tecniche chiave osservate

• SEO poisoning e malvertising hanno indirizzato le vittime verso domini controllati dagli attaccanti tramite ricerche come “Office 365” e varianti con errori di digitazione simili.
• Le vittime venivano indirizzate a una falsa pagina di accesso Microsoft 365 progettata per rubare credenziali e token di sessione.
• L’attore ha usato tecniche AiTM per acquisire cookie di sessione e token OAuth, riuscendo così ad aggirare MFA non resistente al phishing.
• Microsoft ha osservato attività sospette con user-agent Axios 1.7.9 e ha collegato il flusso ad abusi noti legati ad Axios, incluse preoccupazioni su CVE-2025-27152.
• Dopo aver ottenuto l’accesso, Storm-2755 ha cercato risorse relative a payroll e HR, quindi ha impersonato dipendenti con email come “Question about direct deposit.”
• In alcuni casi, l’attore ha anche creato regole della posta in arrivo per nascondere messaggi contenenti termini come “direct deposit” o “bank.”

Impatto su amministratori e organizzazioni

Il rischio più immediato è la perdita finanziaria diretta. Una volta compromesso un account, l’attaccante può usare sessioni legittime per confondersi con la normale attività aziendale, rendendo il rilevamento più difficile.

Gli amministratori devono anche considerare che l’MFA tradizionale non è sempre sufficiente contro il furto di token. Poiché gli attacchi AiTM riproducono sessioni già autenticate, le organizzazioni che si affidano a metodi MFA legacy possono comunque restare esposte.

Cosa dovrebbero fare ora i team IT

Microsoft raccomanda di dare priorità alle mitigazioni che riducono il replay dei token e il successo del phishing.

Azioni consigliate

• Distribuire MFA resistente al phishing, come FIDO2/WebAuthn.
• Esaminare i log di accesso per errore 50199, insolita continuità di sessione e attività con user-agent Axios.
• Monitorare accessi non interattivi ripetuti ad app come OfficeHome, Outlook, My Sign-Ins e My Profile.
• Verificare le regole della posta in arrivo per parole chiave legate a banking o direct deposit.
• Analizzare accessi sospetti a piattaforme HR e payroll come Workday.
• Revocare i token di sessione attivi e reimpostare le credenziali per gli account sospettati di compromissione.
• Informare gli utenti sul phishing nei risultati di ricerca e sulle false pagine di accesso Microsoft 365.

In sintesi

Storm-2755 mostra come le moderne campagne di phishing si stiano evolvendo dal semplice furto di credenziali al dirottamento di sessione con impatto finanziario reale. Le organizzazioni che usano Microsoft 365 dovrebbero rivedere l’autenticazione resistente al phishing, rafforzare il monitoraggio di comportamenti di accesso anomali e coordinare i team di sicurezza e HR sui processi di verifica delle modifiche al payroll.