Una nuova campagna di phishing rivolta ai nuovi dipendenti prende di mira le credenziali di Microsoft 365

5 novembre 2025

Di Rikesh Vekaria, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast

Si iscriva per ricevere notifiche relative alle informazioni sulle minacce

Panoramica della campagna

Il team Mimecast Threat Research ha individuato una campagna attiva di raccolta di credenziali che utilizza esche legate alle risorse umane, tra cui una notifica relativa all’inserimento di un nuovo dipendente, al fine di sottrarre le credenziali di Microsoft 365. Questa operazione utilizza esche specifiche per ciascuna azienda che fanno riferimento a nuovi dipendenti fittizi che entrano a far parte delle organizzazioni prese di mira, creando un senso di legittimità che incoraggia l’interazione da parte degli utenti. La campagna segue un flusso di attacco articolato in più fasi, concepito per eludere i sistemi di rilevamento automatizzati. I destinatari ricevono e-mail che annunciano l’arrivo di nuovi dipendenti; spesso, per aumentare la credibilità, nell’oggetto viene indicato il nome dell’azienda di destinazione.

Quando gli utenti cliccano sui link incorporati, vengono reindirizzati a pagine di verifica dall’aspetto convincente che mostrano le foto di presunti nuovi iscritti, insieme a test CAPTCHA progettati per sembrare legittimi, impedendo al contempo agli scanner di sicurezza di accedere al payload finale.

Una volta completata la procedura di verifica fasulla, le vittime vengono reindirizzate a pagine di Microsoft volte a sottrarre le credenziali. Tale infrastruttura è stata collegata a FlowerStorm, una piattaforma di phishing-as-a-service che impiega attacchi di tipo “Adversary-in-the-Middle” (AiTM), progettati specificatamente per sottrarre credenziali e aggirare le protezioni dell’autenticazione a più fattori.

Questa tecnica consente agli autori delle minacce di intercettare i token di autenticazione in tempo reale, consentendo loro di accedere agli account protetti anche quando è abilitata l'autenticazione a più fattori (MFA).

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento potenziate mirate alle tecniche specifiche di questa campagna, tra cui l’analisi delle implementazioni di CAPTCHA contraffatti.

Indicatori di compromissione (IOC)

Oggetti comuni:

• Benvenuto, nuovo dipendente / [nome]
• [nome dell'azienda] - Aggiornamento: Nuovo dipendente / [nome]

Infrastruttura per il furto di credenziali:

• copilotnotewelcomedashboardteamsmst365[.]faraway[.]com[.]de
• https://ctrlcopilotappsmst365[.]gleamed[.]com[.]de
• https://onedriveappsdirectmst365[.]gleamed[.]com[.]de
• http://mailboxselfservicecenter[.]gleamed[.]com[.]de

Obiettivi

Sembra che siano coinvolti diversi settori, con campagne che dimostrano la possibilità di personalizzare le esche con nomi specifici di aziende.

Raccomandazioni

Sensibilizzazione degli utenti in materia di sicurezza:

• Si invitano gli utenti a verificare gli annunci relativi ai nuovi assunti tramite i canali ufficiali delle Risorse Umane, anziché cliccare sui link contenuti nelle e-mail
• Informare il personale in merito alle sofisticate tecniche di phishing basate sui CAPTCHA e sull’importanza di verificare la legittimità delle pagine di verifica
• Condurre simulazioni di phishing che includano nuovi scenari di ingegneria sociale rivolti ai dipendenti

Ricerca delle minacce:

• Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne