Microsoft ha dettagliato a large-scale phishing campaign che ha utilizzato tecniche multi-stadio per compromettere le sessioni utente e bypassare l’autenticazione multifattore, evidenziando un crescente spostamento verso attacchi basati su token.
Secondo il team di threat intelligence di Microsoft, la campagna ha preso di mira più di 35.000 utenti in oltre 13.000 organizzazioni in 26 paesi in un breve periodo tra il 14 e il 16 aprile 2026. La maggior parte degli obiettivi si trovava negli Stati Uniti, con settori come sanità, finanza e tecnologia fortemente colpiti.
L’attacco si basava su un’esca di “codice di condotta”, in cui le vittime ricevevano email di phishing che le invitavano a rivedere o riconoscere le politiche relative al luogo di lavoro. Questi messaggi erano progettati per apparire legittimi e distribuiti in più ondate per aumentare l’efficacia.
Una volta ingaggiato un bersaglio, l’operazione si svolse in diverse fasi. Le vittime venivano reindirizzate attraverso una catena di infrastrutture dannose prima di finire infine su una pagina di phishing progettata per catturare le credenziali. Tuttavia, la campagna non si è fermata al furto di password. Invece, gli attaccanti hanno utilizzato tecniche di avversario nel mezzo per intercettare i dati di autenticazione in tempo reale.
Questo metodo permetteva agli attori della minaccia di ottenere token di sessione, consentendo l’accesso all’account senza dover nuovamente avere credenziali. Tale furto di token è particolarmente significativo perché può bypassare le protezioni di autenticazione multifattore, tipicamente progettate per prevenire accessi non autorizzati.
Microsoft ha osservato che la campagna ha sfruttato l’infrastruttura reverse proxy per collocarsi tra gli utenti e i servizi di login legittimi. Questa configurazione permetteva agli attaccanti di catturare i cookie di autenticazione e mantenere un accesso persistente anche dopo la compromessa iniziale.
Il design multistadio includeva anche tattiche di evasiva. L’infrastruttura di attacco si adattava dinamicamente alle interazioni con gli utenti e ai controlli ambientali, riducendo la probabilità di rilevamento da parte degli strumenti di sicurezza. In alcuni casi, i contenuti di phishing venivano visualizzati selettivamente in base alle condizioni di miratura, limitando l’esposizione ai ricercatori e alle difese automatizzate.
I ricercatori hanno sottolineato che la campagna non si è concentrata su un singolo settore, ma ha invece preso di mira un’ampia gamma di organizzazioni. Questo approccio ampio riflette uno spostamento verso operazioni di phishing scalabili che danno priorità al volume e all’automazione rispetto ad attacchi altamente mirati.
I risultati evidenziano una tendenza più ampia nelle minacce informatiche. Gli aggressori stanno andando sempre più oltre il furto di credenziali, passando al dirottamento di sessione e agli attacchi basati sull’identità. In questi scenari, le difese tradizionali come il reset della password potrebbero non essere sufficienti, poiché i token rubati possono continuare a fornire accesso se non revocati.
Microsoft consiglia alle organizzazioni di rafforzare le misure di protezione dell’identità, incluso il monitoraggio per attività sospette di sessione, l’implementazione di politiche di accesso condizionato e la rapida revoca dei token in risposta a potenziali compromissioni.
La campagna dimostra come le operazioni di phishing continuino a evolversi, combinando ingegneria sociale con infrastrutture avanzate per aggirare i controlli di sicurezza consolidati e mantenere l’accesso a lungo termine agli account compromessi.