Campagna di phishing volta a sottrarre credenziali a tema Microsoft Teams che sfrutta risorse formative legittime

2 marzo 2026

A cura del Mimecast Threat Research Team

Punti principali

Campagna di raccolta di credenziali che si spaccia per notifiche relative alle attività di Microsoft Teams
Utilizzo del servizio di invio e-mail SendGrid e delle risorse relative ai modelli di formazione sulla sicurezza CanIPhish
Oltre 9.000 casi rilevati tra gennaio e febbraio 2026
Organizzazioni con sede negli Stati Uniti operanti in diversi settori verticali, in particolare nei settori finanziario, dei servizi professionali, manifatturiero e sanitario
Furto di credenziali tramite false notifiche relative a attività da svolgere

Panoramica della campagna

Il team di ricerca sulle minacce di Mimecast ha individuato una campagna di phishing finalizzata al furto di credenziali che sfrutta a proprio vantaggio materiali didattici legittimi relativi alla sensibilizzazione in materia di sicurezza. Gli autori delle minacce hanno modificato i modelli di simulazione di phishing disponibili pubblicamente su CanIPhish, una piattaforma legittima di formazione sulla sicurezza, per creare esche convincenti ispirate a Microsoft Teams e rivolte agli utenti aziendali.

Catena di attacchi

La campagna adotta un approccio articolato in più fasi, concepito per sfruttare la fiducia degli utenti nei confronti degli strumenti di comunicazione aziendale a loro familiari:

1. Consegna iniziale: le e-mail vengono inviate tramite l’infrastruttura di SendGrid utilizzando account compromessi

2. Esca di ingegneria sociale: i destinatari ricevono quella che sembra essere una notifica di Microsoft Teams relativa a un’attività assegnata, consistente nella revisione di un rapporto sull’anzianità dei crediti ( "Aging Report)" relativo alla contabilità fornitori o alla documentazione finanziaria

3. Uso improprio dei modelli: gli autori delle minacce hanno ottenuto modelli HTML dagli esempi di simulazione di phishing accessibili al pubblico su CanIPhish. Questi modelli, originariamente concepiti per la formazione in materia di sicurezza, sono stati modificati per:

Sostituire gli URL di simulazione con il dominio utilizzato per il furto di credenziali
Personalizzare i nomi delle aziende e i dati dei destinatari per le organizzazioni selezionate

I modelli modificati mantengono i riferimenti al bucket AWS S3 di CanIPhish per le risorse grafiche (https://caniphish.s3.ap-southeast-2.amazonaws.com/), rafforzando ulteriormente l'impressione di legittimità.

4. Acquisizione delle credenziali: gli utenti che fanno clic sui pulsanti “ "” (Apri in Teams), “" ” (Apri in Teams) o “ "” (Apri nel browser)" vengono reindirizzati alla pagina riportata di seguito, dove devono fare clic su un altro link per aprire il file.

5.Pagina Captcha di : una volta che l’utente fa clic sul link, viene reindirizzato a una pagina Captcha in cui deve confermare di essere un essere umano. Una volta completato il captcha, verrà visualizzata una pagina di accesso Microsoft, dove l’autore dell’attacco procederà a raccogliere le credenziali.

Destinatari e regioni

Distribuzione geografica

Destinatario principale: Stati Uniti (oltre il 95% e delle campagne osservate)
Obiettivi secondari: casi limitati che interessano il Regno Unito, la Germania, il Canada e l’Australia

Indicatori di compromissione (IOC)

Infrastruttura di SendGrid:

u58401087.ct.sendgrid.net (dominio di tracciamento)

URL dannosi

mstexcelauthcopilot[.]powerappsportals[.]com

Oggetti comuni

[Nome dell'azienda] : CFO / Rendiconto di scadenza (gennaio - febbraio 2026)
[Nome dell'azienda] : Rapporto AR / Scadenze (gennaio - febbraio 2026)
[Nome dell'azienda] Relazione / Scadenzario (gennaio 2025)
[Nome dell'azienda] Relazione sui servizi finanziari / Scadenzario (gennaio 2025)

Modello: l'oggetto delle e-mail viene personalizzato con il nome dell'organizzazione destinataria seguito da

Protezione Mimecast

Mimecast ha implementato diversi livelli di rilevamento per identificare e bloccare questa campagna. Il nostro team di intelligence sulle minacce continua a monitorare questa campagna e aggiornerà i criteri di rilevamento man mano che gli autori delle minacce modificheranno le loro tattiche.

Raccomandazioni

Formazione sulla sensibilizzazione alla sicurezza degli utenti

Informare i dipendenti sulle caratteristiche specifiche di questa campagna, tra cui l’esca del rapporto sull’invecchiamento e la frode tramite impersonificazione su Microsoft Teams
Formare il personale affinché verifichi gli incarichi inattesi tramite canali di comunicazione distinti prima di cliccare sui link
Si raccomanda di prestare particolare attenzione alla verifica dell'autenticazione: gli utenti dovrebbero sempre controllare la barra degli indirizzi prima di inserire le credenziali; le pagine di accesso Microsoft autentiche utilizzano i domini login.microsoftonline.com o login.microsoft.com, non varianti di powerappsportals.com

Ricerca proattiva delle minacce

Cercare nei registri delle ricevute e-mail i messaggi provenienti da Sendgrid e con gli oggetti elencati

Ulteriori informazioni

Questa campagna riflette una tendenza più ampia da parte degli autori delle minacce a sfruttare servizi legittimi, quali le piattaforme di invio di e-mail e le risorse di formazione sulla sicurezza accessibili al pubblico, per rafforzare la credibilità dei propri attacchi. Tale abuso evidenzia la necessità di proteggere i materiali didattici e le piattaforme affidabili dal rischio che vengano utilizzati a fini dannosi.

A seguito dell’individuazione di questa minaccia, Mimecast ha collaborato strettamente con CanIPhish per implementare misure di protezione volte a ridurre il rischio di un uso improprio delle proprie risorse, dimostrando l’importanza della collaborazione e della condivisione delle informazioni all’interno della comunità della sicurezza per contrastare efficacemente le minacce emergenti.