Barracuda full logo

Radar delle minacce e-mail – settembre 2025

Argomenti:
23 set 2025
|
Threat Analyst Team

Nell'ultimo mese, gli analisti delle minacce di Barracuda hanno identificato diverse minacce degne di nota veicolate tramite email che prendono di mira organizzazioni in tutto il mondo. Le minacce includono:

  • Tycoon e EvilProxy kit di phishing che sfruttano Microsoft OAuth per l'accesso e per reindirizzare gli URL a pagine dannose
  • Gli attaccanti sfruttano una gamma più ampia di piattaforme online per creare e ospitare pagine di phishing, comprese le ambienti serverless basati su cloud, i siti di creazione di siti web e gli strumenti di produttività visiva.
  • In breve: L'abuso di Google Translate, truffatori che prendono di mira DirectSend, Google Classroom e Meet

Le bande di phishing abusano di Microsoft OAuth per un accesso furtivo

Sintesi delle minacce

OAuth è uno standard ampiamente adottato che consente agli utenti di accedere ad applicazioni di terze parti come Microsoft 365 senza condividere le proprie password. Questa comodità ha aperto una nuova superficie di attacco. I ricercatori di sicurezza nell'industria, incluso presso Barracuda, stanno osservando kit avanzati di phishing-as-a-service (PhaaS) che mirano alle vulnerabilità nelle implementazioni OAuth per ottenere accesso non autorizzato e persistente a account e dati.

L'abuso di OAuth può consentire agli attaccanti di:

  • Rubare i token di accesso
  • Impersonare gli utenti
  • Utilizzare credenziali client rubate o dirottate per accedere silenziosamente ad account e dati personali.
  • Registrare applicazioni dannose in modo che sembrino affidabili per ingannare gli utenti a concedere autorizzazioni di accesso e controllo
  • Sfrutta controlli deboli per gli indirizzi dei siti web utilizzati durante l'accesso o il reindirizzamento
  • Abusare delle funzionalità di accesso automatico per rubare codici di autorizzazione senza che l'utente ne sia a conoscenza
  • Richiedere e abusare dell'ambito .default, che concede ampie autorizzazioni API preconfigurate, consentendo agli attaccanti che sono riusciti a ottenere token di accesso di aumentare i loro privilegi e accedere a risorse sensibili.

Gli attacchi OAuth osservati dagli analisti delle minacce di Barracuda sono attacchi PhaaS su larga scala, automatizzati e semplificati basati su ingegneria sociale.

Esempio di un attacco di phishing che tenta di sfruttare le vulnerabilità di OAuth

Per implementare l'attacco, gli attaccanti modificano l'URL OAuth di Microsoft.

L'URL OAuth di Microsoft originale e legittimo appare così:

Esempio di come appare un URL OAuth legittimo di Microsoft

I vari elementi possono essere suddivisi come segue:

  • client_id: Questo codice identifica l'applicazione registrata su Microsoft.
  • response_type: Questo indica al server OAuth di restituire un codice di autorizzazione, che avvia il flusso sicuro del codice di autorizzazione utilizzato per ottenere i token di accesso.
  • redirect_uri: Questo è un URI di reindirizzamento attendibile.
  • ambito: Questo significa che il sistema sta chiedendo informazioni di base — chi sei, le informazioni del tuo profilo e l'indirizzo e-mail.
  • stato: Questo istruisce il sistema a creare un codice speciale o token all'inizio della richiesta, che verifica quando la richiesta ritorna, in modo da sapere che proviene da te e non da un attaccante che cerca di ingannare il sistema per cambiare impostazioni o inviare un messaggio a tuo nome senza il tuo permesso o la tua conoscenza.
  • prompt: La frase 'select_account' impone la scelta di un account prima di autorizzare l'accesso per assicurarsi che siate davvero voi e non un attaccante che cerca di intrufolarsi.

Gli URL OAuth dannosi sembrano un po' diversi

Il primo esempio riportato di seguito proviene da un attacco Tycoon 2FA in cui l'utente viene reindirizzato a un sito di phishing che impersonifica Microsoft, progettato per rubare le credenziali di accesso. Tutti i link reindirizzano a elementi controllati dagli attaccanti.

Esempio di URL di reindirizzamento di phishing
Il secondo esempio coinvolge EvilProxy ed è progettato per consentire all'hacker di bypassare l'autenticazione multifattore e di dirottare le sessioni.
Esempio di un bypass di EvilProxy

Nel link EvilProxy, viene utilizzata la frase ‘prompt=none’. Questo sopprime il prompt di accesso, il che significa che se l'utente è già connesso, verrà reindirizzato in modo silenzioso senza alcuna interazione.

Se risulta che l'utente non ha effettuato l'accesso o è necessario il consenso, il server restituisce un errore anziché richiedere all'utente di intervenire. Ciò consente alle applicazioni — o agli attaccanti — di aggiornare i token o controllare lo stato della sessione senza interrompere l'utente.

Questi attacchi richiedono tipicamente agli attaccanti di registrare applicazioni dannose all'interno del loro tenant Entra ID (Azure AD). Queste app dannose sono progettate con cura per imitare app o servizi legittimi.

Abusano del flusso OAuth di Microsoft per richiedere automaticamente il consenso dell'utente per permessi (o ambiti) molto ampi, come l'accesso a e-mail, file, calendari, chat di Teams o API di gestione.

Una volta che un utente concede inconsapevolmente il consenso, l'attaccante può ottenere l'accesso all'account dell'utente senza bisogno della loro password o dell'autenticazione multifattoriale, poiché l'accesso è concesso tramite token OAuth.

In uno scenario più grave, l'attaccante potrebbe bypassare completamente il flusso OAuth e invece reindirizzare l'utente a una pagina di accesso contraffatta che imita da vicino la schermata di accesso ufficiale di Microsoft. Se l'utente inserisce inconsapevolmente le proprie credenziali, l'attaccante le cattura, potenzialmente ottenendo pieno accesso all'account.

Azione da intraprendere per mantenere sicuri gli ambienti OAuth

  1. Consenti solo i link di reindirizzamento affidabili per garantire che gli utenti vengano inviati a siti web sicuri e conosciuti dopo il login.
  2. Prendi in considerazione l'aggiunta di un codice segreto a ogni richiesta di accesso per garantire che provenga da un utente legittimo.
  3. Non lasciare che il sistema selezioni automaticamente un account — chiedi agli utenti di scegliere il loro account.
  4. Verifica che i token di accesso siano autentici, non scaduti e destinati alla tua app — e utilizza token che scadono rapidamente in modo che non possano essere riutilizzati se rubati.
  5. Non richiedere l'accesso a più dati del necessario, come contatti o file.
  6. Insegna agli sviluppatori e agli utenti come individuare i rischi e utilizzare OAuth correttamente.
  7. Conserva i log per rilevare qualsiasi attività insolita, come accessi da luoghi strani.

Truffatori che sfruttano le piattaforme di serverless computing, gli strumenti di creazione di siti web e di produttività per ospitare il phishing

Threat Snapshot

In precedenza abbiamo segnalato come gli attaccanti sfruttano la collaborazione cloud affidabile, la gestione dei documenti e le piattaforme di moduli online, approfittando della loro accessibilità e reputazione per aiutare le campagne di phishing a bypassare i filtri di sicurezza e guadagnare la fiducia degli utenti.

Ora vediamo anche gli attaccanti abusare delle piattaforme di hosting di codice e del calcolo serverless, degli strumenti di sviluppo di siti web e di produttività online per creare e distribuire siti di phishing e contenuti dannosi.

L'abuso di una piattaforma di calcolo serverless JavaScript da parte di LogoKit

Le piattaforme di calcolo serverless sono progettate per aiutare gli sviluppatori di applicazioni a creare ed eseguire nuove app senza dover investire in infrastrutture. Offrono accessibilità, facilità di distribuzione e scalabilità — caratteristiche che vengono sfruttate anche dalle bande di phishing mentre si nascondono dietro un dominio legittimo.

Gli analisti delle minacce di Barracuda hanno recentemente osservato il LogoKit PhaaS sfruttare una piattaforma serverless progettata per eseguire piccoli snippet di JavaScript o TypeScript nel cloud.

La piattaforma consente l'uso di URL pubblici e il dispiegamento immediato da uno snippet di codice, il che semplifica ulteriormente il processo per gli attaccanti.

Gli attacchi osservati da Barracuda iniziano con un'e-mail creata ad hoc che impersonifica Roundcube Webmail, sostenendo che la password del destinatario sta per scadere. Se il destinatario clicca sul pulsante "Mantieni la mia password", viene reindirizzato a un sito di phishing. Il contenuto dannoso è ospitato sulla piattaforma serverless.

Esempio di un attacco di phishing che impersonifica Roundcube Webmail

LogoKit adatta l'attacco personalizzandosi dinamicamente in base al dominio e-mail della vittima.

Creare un URL di phishing sul sito abusato è estremamente semplice: gli attaccanti possono distribuire solo poche righe di JavaScript o TypeScript per generare istantaneamente un URL attivo e condivisibile come mostrato di seguito, con una configurazione minima.

Esempio di attacco di phishing utilizzando LogoKit

L'abuso di strumenti di creazione di siti web e produttività da parte di EvilProxy

Gli analisti delle minacce di Barracuda hanno recentemente rilevato il kit di phishing EvilProxy che sfrutta sia un popolare strumento di creazione di siti web che uno strumento di produttività visiva.

Nel primo caso, gli attaccanti inviano un'e-mail di phishing che chiede alla vittima di cliccare sul pulsante per aprire il documento. In realtà, l'intera e-mail è un'unica immagine che incorpora il link che porta la vittima a un sito di creazione di siti web.

Nel secondo esempio, gli attaccanti inviano ai bersagli un'e-mail con quello che sembra un documento OneDrive, ma il link incorporato nell'e-mail porta effettivamente all'applicazione dello strumento di produttività.

In breve

Google Translate come una porta trappola

Gli attaccanti stanno sfruttando la struttura URL di Google Translate codificando domini dannosi per farli apparire come sottodomini di “translate.goog”.

Questo viene fatto sostituendo i punti nel dominio originale con trattini, una tattica che fa sembrare l'URL un sottodominio legittimo di Google. Agli utenti ignari, il link appare sicuro perché sembra essere ospitato sotto l'infrastruttura di Google.

I link spesso bypassano i filtri di sicurezza e-mail e web poiché i domini “.goog” sono generalmente considerati attendibili per impostazione predefinita, aumentando il tasso di successo delle campagne di phishing.

I truffatori prendono di mira gli utenti di SendGrid

Una sofisticata campagna di phishing sta attivamente prendendo di mira i clienti di Twilio SendGrid utilizzando oggetti tecnici come "Errori API che influenzano la consegna delle e-mail" e "Endpoint Webhook non risponde" per ingannare sviluppatori e team IT nel cliccare su link dannosi.

L'attacco imita gli avvisi di sistema legittimi e diventa auto-replicante: una volta rubate le credenziali di un utente, l'account SendGrid compromesso viene utilizzato per inviare ulteriori email di phishing da una fonte attendibile. Poiché questi account dispongono di record di autenticazione email validi (SPF e DKIM), le email di phishing spesso superano i filtri di sicurezza, facendole apparire autentiche. L'obiettivo è rubare ulteriori credenziali attraverso pagine di login false, creando un ciclo di compromissione continua all'interno dell'ecosistema SendGrid.

Google Classroom e Meet un obiettivo per spammer e truffatori

Gli attaccanti stanno sfruttando servizi Google affidabili come Classroom e Meet per lanciare campagne di spam e truffa su larga scala, prendendo di mira principalmente gli utenti con false offerte di "rivenditore" o di guadagno di denaro che coinvolgono la vendita di prodotti o servizi.

Queste truffe tipicamente coinvolgono la creazione di classi false su Google Classroom o l'invio di inviti di massa tramite Meet — spesso intitolati con caratteri casuali ma presentati per promuovere attraenti opportunità di marketing o di guadagno. Le descrizioni o gli inviti includono un numero WhatsApp, invitando gli utenti a contattarlo.

A questo punto la vera e propria truffa si trasforma in frode o schemi di marketing ingannevoli. Sfruttando la credibilità delle piattaforme di Google e spostando la comunicazione su

WhatsApp, gli attaccanti aggirano efficacemente i filtri di sicurezza tradizionali e attirano le vittime in truffe cross-platform.

Come Barracuda Email Protection può aiutare la tua organizzazione

Barracuda Email Protection offre una suite completa di funzionalità progettate per difendersi dalle minacce avanzate via email.

Include funzionalità come Email Gateway Defense, che protegge da phishing e malware, e Protezione dal furto d'identità, che salvaguarda dagli attacchi di social engineering.

Inoltre, fornisce Incident Response e Domain Fraud Protection per mitigare i rischi associati a account compromessi e domini fraudolenti. Il servizio include anche Cloud-to-Cloud Backup e Security Awareness Training per migliorare la postura complessiva di sicurezza delle email.

Barracuda combina l'intelligenza artificiale e l'integrazione profonda con Microsoft 365 per fornire una soluzione completa basata sul cloud che protegge da attacchi di phishing e di impersonificazione potenzialmente devastanti e iper-mirati.

Ulteriori informazioni sono disponibili qui.

Scopri come Barracuda può aiutare a proteggere la tua azienda
Threat Analyst Team

Il Threat Analyst Team di Barracuda si concentra sulla rilevazione, analisi e mitigazione delle minacce emergenti. Dedicato a proteggere i clienti dagli attacchi informatici, il team sfrutta tecnologie avanzate e intelligence sulle minacce per fornire approfondimenti attuabili e strategie di difesa proattive.

Post correlati:
West Chester CISO stays ahead of threats with Barracuda
West Chester CISO stays ahead of threats with Barracuda
 Introducing Barracuda Assistant: Your AI-powered partner for faster, smarter security operations
Introducing Barracuda Assistant: Your AI-powered partner for faster, smarter security operations
 Mese della sensibilizzazione sulla sicurezza informatica: Rimanere un passo avanti rispetto alle minacce di phishing in evoluzione
Mese della sensibilizzazione sulla sicurezza informatica: Rimanere un passo avanti rispetto alle minacce di phishing in evoluzione
 I ritardi nelle violazioni delle e-mail possono moltiplicare per otto il rischio di ransomware.
I ritardi nelle violazioni delle e-mail possono moltiplicare per otto il rischio di ransomware.
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.