Campagna di phishing tramite codici QR incentrata sui bonus del reparto Risorse Umane, che sfrutta le procedure aziendali di fine anno

21 novembre 2025

Si iscriva per ricevere notifiche relative alle informazioni sulle minacce

Panoramica della campagna

Il team Mimecast Threat Research ha individuato una campagna attiva di raccolta di credenziali che sfrutta account di posta elettronica compromessi per diffondere messaggi di phishing incentrati su tematiche relative alle risorse umane, spacciandosi per DocuSign e per i dipartimenti delle risorse umane di specifiche aziende. Questa campagna dimostra una notevole maturità operativa grazie all’utilizzo di account compromessi distribuiti geograficamente, al filtraggio dei dispositivi mobili e alle tecniche di aggiramento dei CAPTCHA volte a eludere il rilevamento.

Gestione tempestiva dei processi aziendali di fine anno

Questa campagna è particolarmente preoccupante a causa della tempistica strategica con cui è stata condotta e dello sfruttamento di flussi di lavoro aziendali legittimi. Con l’avvicinarsi dell’ultimo trimestre dell’anno, i dipartimenti delle risorse umane di tutti i settori avviano solitamente le procedure relative all’assegnazione dei bonus, alle valutazioni delle prestazioni di fine anno e all’iscrizione ai piani previdenziali. I dipendenti si aspettano di ricevere comunicazioni attendibili in merito alla retribuzione, il che li rende più vulnerabili alle truffe di phishing incentrate sulle risorse umane. Gli autori delle minacce hanno sfruttato a proprio vantaggio questa aspettativa, creando messaggi convincenti che si inseriscono nel contesto delle normali attività aziendali di fine anno. L'urgenza sottintesa in oggetti di e-mail quali "Concludiamo l'anno nel modo giusto – Compilate il modulo per il bonus!" sfrutta sia la natura urgente delle procedure di fine anno sia l'interesse finanziario dei dipendenti riguardo alle informazioni sui bonus. Questa manipolazione psicologica aumenta in modo significativo la probabilità che l'utente interagisca con contenuti dannosi.

Catena di attacchi

La campagna si articola in un processo articolato in più fasi:

• 1. Invio iniziale: le e-mail provengono da account compromessi, utilizzando principalmente indirizzi mittenti associati a servizi legittimi e domini aziendali
• 2. Ingegneria sociale: messaggi che si spacciano per comunicazioni del reparto Risorse Umane relative a moduli per i bonus o alla documentazione di fine anno
• 3. Allegato PDF: L'e-mail contiene un allegato in formato PDF che riporta il logo dell'organizzazione presa di mira e l'immagine coordinata del reparto Risorse Umane, al fine di conferirle un'apparenza di legittimità
• 4. Reindirizzamento tramite codice QR: Il PDF contiene un codice QR che reindirizza gli utenti a un portale per la raccolta delle credenziali
• 5. Targeting mobile: Alcune varianti utilizzano meccanismi di filtraggio per garantire che le connessioni provengano da dispositivi mobili, dove i controlli di sicurezza potrebbero essere meno rigorosi
• 6. Raccolta delle credenziali: gli utenti vengono reindirizzati a una pagina di autenticazione fasulla, creata appositamente per sottrarre le credenziali aziendali

Di seguito sono riportati alcuni degli esempi individuati

Una volta che un utente ha scansionato il codice QR con il proprio dispositivo mobile, viene reindirizzato a una fase di verifica manuale volta a garantire la legittimità dell'operazione.

A questo punto viene richiesto agli utenti di inserire le proprie credenziali

Infrastruttura tecnica

L'analisi di una variante dell'infrastruttura di backend della campagna rivela l'esistenza di un meccanismo di raccolta delle credenziali. Le pagine di phishing utilizzano tecniche di raccolta dati basate su JavaScript con le seguenti caratteristiche:

• Tentativi multipli di invio: lo script consente fino a tre tentativi di autenticazione non riusciti prima di reindirizzare l'utente a un portale Microsoft Office legittimo, creando l'illusione di un problema temporaneo del servizio
• Gestione degli errori: Implementa una validazione di base per garantire che gli utenti inseriscano le credenziali prima di procedere
• Esfiltrazione dei dati: le credenziali acquisite vengono trasmesse tramite richiesta POST a un’infrastruttura controllata dall’autore dell’attacco all’indirizzo https://jafaclink.net/nbm/sharethepoint/point/res.php
• Tecniche di elusione: Alcune varianti utilizzano test CAPTCHA appositamente progettati per aggirare gli strumenti automatizzati di scansione di sicurezza

Protezione Mimecast

Il team Mimecast Threat Research ha sviluppato e implementato regole di rilevamento per identificare e bloccare questa campagna. Continuiamo a monitorare questa operazione di minaccia per individuarne l’evoluzione tattica e i cambiamenti a livello di infrastruttura.

Obiettivi

Organizzazioni globali

Indicatori di compromissione (IOC)

Raccomandazioni

Formazione sulla sensibilizzazione degli utenti:

• Si raccomanda agli utenti di verificare le esche relative alle risorse umane e ai bonus, anziché scansionare i codici QR
• Informare gli utenti sui rischi legati alla scansione di codici QR provenienti da fonti inattese, in particolare negli allegati delle e-mail
• Si raccomanda agli utenti di prestare la massima attenzione quando accedono a contenuti di lavoro su dispositivi mobili, dove gli indicatori di sicurezza potrebbero risultare meno evidenti
• Eseguire simulazioni di phishing che includano scenari basati su codici QR

Ricerca delle minacce:

• Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne