Security

Tycoon2FA phishing AiTM: come aggira l’MFA

3 min di lettura

Riepilogo

L’analisi di Microsoft mostra che Tycoon2FA, attivo dall’agosto 2023, è diventato uno dei kit di phishing AiTM più diffusi, con campagne che hanno inviato decine di milioni di email e colpito oltre 500.000 organizzazioni al mese. È rilevante perché permette agli attaccanti di aggirare l’MFA intercettando i cookie di sessione durante il login, dimostrando che per difendersi non basta reimpostare le password ma servono anche revoca delle sessioni e controlli di autenticazione più forti.

Riepilogo audio

0:00--:--
Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

I kit di phishing AiTM come Tycoon2FA cambiano il modello di rischio per gli accessi a Microsoft 365 e ad altri SaaS: anche quando gli utenti hanno l’MFA abilitata, gli attaccanti possono comunque compromettere gli account intercettando cookie/token di sessione durante il sign-in. Per gli amministratori IT, questo significa che “reimpostare la password” spesso non basta: l’incident response deve includere la revoca di sessioni/token e il rafforzamento dei controlli di autenticazione.

Novità / risultati chiave dall’analisi di Microsoft

Tycoon2FA ha consentito l’elusione dell’MFA su scala enorme

  • Attivo da agosto 2023, Tycoon2FA è diventato uno degli ecosistemi PhaaS più diffusi.
  • Microsoft ha osservato campagne che hanno inviato decine di milioni di messaggi di phishing e raggiunto oltre 500.000 organizzazioni ogni mese in quasi tutti i settori.
  • Il kit forniva proxying AiTM: catturava le credenziali e intercettava i cookie di sessione inoltrando al contempo prompt/codici MFA verso il servizio reale.

Un’esperienza “chiavi in mano” per gli operatori ha abbassato la barriera d’ingresso

Tycoon2FA veniva venduto tramite canali come Telegram/Signal e offriva un pannello di amministrazione web per:

  • Selezionare template di impersonificazione del brand (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
  • Configurare catene di redirect, decoy e logica di instradamento
  • Generare file-esca malevoli (ad es. consegne basate su PDF/HTML/EML/QR code)
  • Tracciare l’interazione delle vittime ed esfiltrare gli artefatti acquisiti (anche tramite bot Telegram)

Evasione e infrastruttura a rotazione rapida

Microsoft evidenzia un uso intenso di tecniche anti-analisi ed evasione, tra cui:

  • Controlli anti-bot, fingerprinting del browser, CAPTCHA self-hosted e offuscamento del codice
  • Domini di breve durata (spesso 24–72 ore) con TLD diversi e a bassa frizione
  • Ampio uso di infrastruttura hosted su Cloudflare e rotazione rapida per restare davanti ai blocchi

Attività di disruption

La DCU di Microsoft, collaborando con Europol e partner, ha facilitato una disruption dell’infrastruttura e delle operazioni di Tycoon2FA: un passo importante, anche se i difensori dovrebbero aspettarsi copycat e retooling.

Impatto su amministratori IT e utenti finali

  • L’MFA da sola non è sufficiente contro l’AiTM quando si basa su token di sessione riutilizzabili.
  • Il recupero dell’account deve includere la revoca di sessioni/token; altrimenti, gli attaccanti possono persistere anche dopo il reset della password.
  • I workload di email e collaborazione (Exchange Online, SharePoint/OneDrive) restano bersagli primari per via dei dati di alto valore e delle opportunità di movimento laterale.

Azioni / prossimi passi

  1. Dare priorità all’autenticazione resistente al phishing (prima per gli utenti ad alto rischio): puntare su FIDO2/passkeys, autenticazione basata su certificati o altri metodi resistenti al phishing dove possibile.
  2. Rafforzare Conditional Access: ridurre il valore del token replay (controlli sul rischio di sign-in, requisiti di conformità del dispositivo, restrizioni di posizione e controlli di sessione più rigorosi per i ruoli privilegiati).
  3. Rivedere i runbook di incident response: assicurarsi che la risposta includa revoke sign-in sessions, la disabilitazione degli account compromessi e la rotazione di credenziali/chiavi quando necessario.
  4. Rafforzare i controlli di ingresso email: imporre protezioni anti-spoofing, usare regole di mail flow dove opportuno e analizzare con attenzione le esche basate su allegati (SVG/HTML/PDF/QR).
  5. Usare le rilevazioni di Microsoft Defender e le linee guida di hunting: rendere operative le raccomandazioni di detection e hunting nel report di Microsoft per identificare pattern AiTM, furto di token e infrastrutture di redirect sospette.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Threat Intelligence and Microsoft Defender Security Research Team
phishingAiTMMicrosoft DefenderMicrosoft 365Conditional Access

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.