Campagna di phishing “Browser-in-the-Browser” (BitB)

24 giugno 2026

Di Rikesh Vekaria

Panoramica della campagna

Gli hacker hanno individuato un nuovo metodo per aggirare gli strumenti di analisi dei codici QR: danneggiare intenzionalmente il file.

Nel maggio 2026, il team Mimecast Threat Research ha individuato una campagna di quishing su larga scala che incorporava codici QR dannosi all’interno degli allegati degli inviti di calendario e alterava deliberatamente tali allegati in modo da violare la specifica RFC 2445, su cui si basano i file di calendario. Il risultato è stato che gli strumenti automatizzati che tentavano di estrarre e analizzare il codice QR hanno fallito nella fase di analisi sintattica, prima ancora di poter individuare eventuali elementi dannosi.

La campagna ha inoltre mostrato segni di un’automazione non perfetta. L'immagine contenuta in ciascuna e-mail presentava un messaggio con il marchio Microsoft, ma il testo alternativo faceva riferimento al dominio dell'organizzazione destinataria, il che suggerisce che lo strumento utilizzato dall'autore dell'attacco fosse stato progettato per inserire dinamicamente il logo del destinatario, ma non sia riuscito a farlo. Gli indirizzi dei mittenti, le righe dell’oggetto e il contenuto dei messaggi sono stati variati in ogni occasione, proprio per eludere i controlli basati sulle firme e sulla reputazione.

Maggio 2026: campagna di "quishing" tramite ICS malconfigurati

Struttura e realizzazione della campagna

Didascalia: L’allegato all’invito del calendario conteneva un codice QR che, una volta scansionato, indirizzava il destinatario verso una fase di verifica manuale prima di consegnare il contenuto dannoso.

Didascalia: Questo filtro intermedio è stato progettato per eludere l’analisi automatizzata e conferire all’esperienza un senso di legittimità.

Didascalia: Nel corso dell’intera campagna, gli indirizzi dei mittenti, gli argomenti delle e-mail e il contenuto dei messaggi hanno subito continue variazioni, rendendo il rilevamento basato sulle firme notevolmente meno efficace.

Tecniche di evasione a più livelli

La campagna ha combinato diverse tattiche di elusione per aggirare sistematicamente ogni livello di rilevamento automatico:

Origine attendibile: i messaggi sono stati inviati dagli host di posta di Google e hanno superato le autenticazioni SPF, DKIM e DMARC, presentando una reputazione di invio ineccepibile ai sistemi destinatari.

Carico utile minimo: ogni e-mail conteneva solo un'immagine e un invito di calendario in formato .ics formato, omettendo il testo del corpo del messaggio, i link e gli allegati che i motori di rilevamento solitamente analizzano.

Allegato offuscato: l’allegato .ics violava deliberatamente la specifica RFC 2445 relativa ai file di calendario, e le sue righe di proprietà X erano piene di contenuti generati in modo casuale, specificamente progettati per causare il malfunzionamento degli strumenti di estrazione dei codici QR nella fase di analisi sintattica.

Codice QR incorporato: all’interno dell’invito del calendario è stato inserito un codice QR, spostando così l’elemento interattivo dal corpo dell’e-mail al dispositivo mobile del destinatario, al di fuori della portata dei filtri aziendali per la posta elettronica e dei controlli sugli endpoint.

Fase di verifica manuale: la scansione del codice QR indirizzava il destinatario verso una fase di verifica manuale prima di raggiungere la destinazione controllata dall’autore dell’attacco, impedendo il crawling automatizzato e mantenendo l’URL di destinazione nascosto agli strumenti di analisi.

Targeting dinamico con esecuzione imperfetta: la campagna ha tentato di inserire dinamicamente i loghi delle organizzazioni destinatarie nell’esca di phishing, ma non ci è riuscita, lasciando il marchio Microsoft nell’immagine mentre il testo alternativo faceva riferimento al dominio del destinatario — prova dell’utilizzo di strumenti sofisticati con lacune nell’implementazione.

File ICS malformati: violare gli standard per eludere il rilevamento

La tecnica di elusione utilizzata nella campagna consisteva nel violare deliberatamente la RFC-5545, la specifica tecnica che definisce la struttura dei file di calendario. Le righe della proprietà X dell’allegato .ics erano state riempite con contenuti generati in modo casuale, progettati per far fallire gli strumenti di estrazione dei codici QR nella fase di analisi.

Non conformità alla RFC-5545

1. Il contenuto compare prima di BEGIN:VCALENDAR
   Il file inizia con numerose righe X-... prima che il calendario abbia effettivamente inizio. Ciò non è valido ai sensi della RFC 5545.
   Gli strumenti di sicurezza e i parser spesso cercano innanzitutto la stringa “BEGIN:VCALENDAR”. L’aggiunta di righe in più all’inizio può far sì che contenuti sospetti sfuggano alle scansioni di base, creando confusione: «Si tratta forse di un calendario?» controlli, oppure nascondere l’invito vero e proprio più in basso nell’allegato, in modo che sia le persone che i sistemi automatizzati lo trascurino.
2. Righe X non conformi + nomi sperimentali
   Le righe sembrano metadati di calendario (X-GENERATION; FUTURE:, X-ADULT; CUSTOMER:), ma utilizzano ; WORD: anziché la sintassi corretta (;WORD=value: o X-WORD:value).
   Perché gli autori degli attacchi agiscono in questo modo:
   • Le proprietà X- sono consentite nella specifica RFC, pertanto il file appare a prima vista “tecnico” e legittimo.
   • Le coppie di parole casuali (GENERAZIONE / FUTURO, CARTA / ALL’INTERNO) riproducono campi reali pur non essendo nomi standard; si tratta di rumore che mette in difficoltà i parser rigorosi, ma che potrebbe comunque essere visualizzato dai client meno rigorosi.
   • I parametri non corretti fanno sì che alcuni parser di sicurezza non riescano a elaborare il file o lo ignorino, mentre alcune app di calendario potrebbero comunque aprirlo parzialmente: si tratta di un classico stratagemma di “abuso di formato”.

Questo approccio vanifica l'analisi automatizzata sotto diversi aspetti:

• I motori di analisi terminano prematuramente: gli strumenti di sicurezza che si aspettano file conformi agli standard rilevano dati non validi e interrompono l'elaborazione prima di raggiungere il codice QR incorporato
• Errore nell'estrazione del codice QR: gli strumenti progettati per individuare ed elaborare immagini incorporate non funzionano quando la struttura del file è stata deliberatamente danneggiata
• Le tecnologie basate sull’URL non hanno nulla da analizzare: le tecnologie di rilevamento tradizionali che si basano sull’analisi dell’URL di destinazione per formulare un verdetto — quali il sandboxing, l’analisi degli URL e gli agenti LLM — falliscono poiché l’URL rimane nascosto all’interno di un allegato danneggiato

Abuso degli inviti del calendario: un panorama delle minacce più ampio

Sebbene la campagna di “quishing” basata su file ICS malformati del maggio 2026 rappresenti l’ultima evoluzione degli attacchi basati sul calendario osservati da Mimecast, essa si inserisce in un contesto più ampio di abuso degli inviti di calendario. Gli autori degli attacchi continuano a sfruttare le funzionalità del calendario attraverso diverse varianti di attacco:

Phishing tramite codice HTML incorporato

Alcuni attacchi incorporano contenuti HTML direttamente all’interno dei file .ics file che, una volta aperti, reindirizzano a pagine di phishing. L'invito del calendario funge di per sé da meccanismo di diffusione, con codice HTML incorporato che visualizza moduli per il furto delle credenziali o reindirizza verso infrastrutture di phishing esterne. Questo approccio aggira la tradizionale scansione dei contenuti delle e-mail, poiché il contenuto dannoso non compare mai nel corpo del messaggio.

Truffe tramite richiamata telefonica (vishing)

Gli inviti del calendario possono contenere numeri di telefono accompagnati da messaggi urgenti pensati per sferrare attacchi di phishing vocale. Tali inviti fanno solitamente riferimento a problemi relativi alla sicurezza dell’account, a pagamenti scaduti o a problemi informatici critici che richiedono un intervento immediato tramite telefonata. Il formato del calendario conferisce credibilità alla richiesta, poiché gli utenti considerano gli eventi programmati più attendibili rispetto alle e-mail non richieste.

Perché l’uso improprio degli inviti del calendario è efficace

Gli attacchi basati sul calendario sfruttano diverse vulnerabilità fondamentali nel modo in cui le organizzazioni e gli utenti interagiscono con i sistemi di pianificazione:

Aggiunta automatica ai calendari: le impostazioni predefinite di Google Calendar e Microsoft 365 spesso aggiungono automaticamente gli inviti esterni ai calendari degli utenti senza richiedere un’accettazione esplicita. Tale automazione comporta che gli utenti possano essere esposti a contenuti dannosi senza aver consapevolmente scelto di interagire con essi.

Fiducia degli utenti nelle notifiche del calendario:gli utenti ripongono di per sé fiducia nelle notifiche del calendario, in quanto parte integrante del loro normale flusso di lavoro. Quando un evento fraudolento si presenta accanto a incontri d’affari legittimi, il contesto in cui si inserisce crea una credibilità implicita di cui gli autori degli attacchi si avvalgono.

Controllo ridotto rispetto alle e-mail: gli inviti del calendario sono sottoposti a un controllo meno rigoroso rispetto alle e-mail standard, sia da parte delle tecnologie di sicurezza che da parte degli utenti stessi, i quali sono stati istruiti a esaminare attentamente i link presenti nelle e-mail, ma non il contenuto degli eventi del calendario.

Persistenza anche dopo la cancellazione dell’e-mail: anche quando l’e-mail di phishing originale viene identificata e rimossa dalla casella di posta in arrivo di un utente, l’evento del calendario potrebbe rimanere presente nella sua agenda, continuando così a esporlo a contenuti dannosi.

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento progettate specificamente per identificare inviti di calendario dannosi e attacchi di "quishing" che sfruttano file ICS non corretti. La protezione multivettoriale dalle minacce (MVTP) si avvale di un’analisi basata sui principi fondamentali, anziché fare affidamento sull’URL di destinazione finale risolto per il rilevamento del phishing o concentrarsi esclusivamente sugli indicatori della fase di sfruttamento per il rilevamento del malware. Esso mette in relazione contestuale i segnali precedenti all’esecuzione, tra cui gli URL di invito all’azione, i modelli di consegna, il comportamento di reindirizzamento, il contesto di autenticazione e gli attributi a livello di messaggio, al fine di giungere a una conclusione.

Il team di ricerca sulle minacce continua a monitorare l’evoluzione delle tecniche utilizzate dalle operazioni malevole che sfruttano l’infrastruttura del calendario e ha integrato nelle funzionalità di rilevamento diversi attributi relativi alla campagna del maggio 2026.

Destinatari: a livello globale, ma con particolare attenzione a Regno Unito, Germania e Stati Uniti; in tutti i settori

Indicatori di compromissione (IOC)

Materie comuni

• Codice di condotta del marzo 2026
• Manuale del programma di formazione in materia di etica
• Politica sui modelli ibridi nel settore energetico
• Procedure contenute nel Manuale del personale
• Manuale delle linee guida in materia di valutazione
• Etica della catena di approvvigionamento
• Manuale delle procedure
• Guida al programma di premi assicurativi
• Politica relativa al modello ibrido
• Politica in materia di sicurezza, salute e conformità
• Guida ai programmi
• Etica della catena di approvvigionamento
• Standard di responsabilità aziendale

Cosa dovrebbero tenere a mente i difensori

Le campagne di phishing che nascondono codici QR all’interno di allegati di calendario sfruttano un punto debole fondamentale: quando l’utente scansiona il codice, l’attacco si è già spostato su un dispositivo mobile personale, dove i filtri di posta elettronica, la protezione web e il monitoraggio degli endpoint sono spesso assenti o notevolmente meno efficaci. Se in quella fase le credenziali venissero sottratte, il sistema di sicurezza aziendale potrebbe non venire mai a conoscenza dell’interazione avvenuta.

Le tecnologie di rilevamento tradizionali, tra cui il sandboxing, l’analisi degli URL e gli agenti basati su modelli di linguaggio di grandi dimensioni (LLM), si basano sulla risoluzione dell’URL di destinazione per formulare un verdetto. Quando quell’URL è nascosto dietro un allegato non valido, un codice QR e una procedura di verifica manuale, tali strumenti non hanno nulla da analizzare.

Gli addetti alla sicurezza dovrebbero considerare gli inviti di calendario autenticati con contenuto minimo nel corpo del messaggio e con payload costituiti esclusivamente da immagini come ad alto rischio, indipendentemente dallo stato di autenticazione del mittente. L'analisi degli allegati deve essere in grado di gestire intestazioni ICS non valide, e gli utenti devono comprendere che la scansione di un codice QR equivale a cliccare su un link non verificato.

I responsabili della sicurezza dovrebbero inoltre tenere conto del fatto che il numero e la varietà delle tecniche di elusione continueranno ad aumentare. I modelli di intelligenza artificiale consentono agli autori delle minacce di generare su larga scala tecniche di elusione a più livelli e le relative varianti; i controlli di sicurezza devono quindi basarsi su un rilevamento fondato sui principi fondamentali, piuttosto che sul confronto con modelli noti.