Aggiornamenti recenti Marzo 4th, 2026 10:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Phishing OAuth: campagne contro enti pubblici sfruttano Microsoft
- Android: 129 vulnerabilità corrette, zero-day Qualcomm già sfruttata
- Una falla in Chrome sfrutta Gemini Live per scopi malevoli
- Paradosso ransomware, pagamenti in calo ma attacchi ai massimi storici
- Google API Keys: le chiavi pubbliche diventano credenziali sensibili
Phishing OAuth: campagne contro enti pubblici sfruttano Microsoft
Nuove campagne di phishing stanno sfruttando in modo strumentale il protocollo OAuth per distribuire malware e compromettere endpoint aziendali, con un focus particolare su organizzazioni governative e del settore pubblico. A diffondere la notizia è stata Microsoft stessa che ha rilevato un abuso sistematico dei meccanismi di redirect legittimi previsti dallo standard di autorizzazione.
Secondo quanto comunicato dal team di sicurezza di Redmond, alcune applicazioni OAuth malevole sono già state disabilitate su Microsoft Entra ID, ma attività correlate risultano ancora in corso e richiedono monitoraggio continuo. Non sono stati resi noti dettagli su scala e impatto delle campagne.
OAuth come vettore: quando il redirect diventa arma
OAuth (Open Authorization) è lo standard utilizzato per consentire l’accesso a servizi online tramite credenziali di terze parti, come Google, Facebook o Apple, attraverso l’uso di access token. Una delle funzionalità previste dallo standard permette agli identity provider di reindirizzare l’utente verso una landing page in caso di errore durante il processo di autenticazione. E proprio questa caratteristica viene sfruttata dagli attaccanti.
I criminali creano URL OAuth apparentemente legittimi, utilizzando provider come Microsoft Entra ID o Google Workspace, ma manipolano specifici parametri per generare volutamente un errore nel processo di login. L’errore innesca un redirect verso una pagina sotto il controllo degli attaccanti, dalla quale viene scaricato il payload malevolo.
Un esempio di URL osservato nelle campagne contro Entra ID include parametri come scope non validi e prompt=none, combinati in modo tale da produrre un comportamento anomalo pur mantenendo un’apparenza coerente con una richiesta OAuth standard.
Come evidenziato dai ricercatori Microsoft, l’obiettivo non è il furto degli access token, poiché l’utente non concede alcun permesso all’applicazione. Lo scopo è invece forzare un errore che attivi il meccanismo di redirect, trasformando un flusso legittimo in un veicolo di distribuzione malware.
Dalla mail al C2: la catena di infezione
Le campagne iniziano con email di phishing che simulano richieste di firma elettronica, notifiche di registrazioni di riunioni Teams, reset password Microsoft 365 o contenuti a tema politico. I link malevoli vengono inseriti nel corpo del messaggio o, in alcuni casi, nascosti in allegati PDF.
Gli indicatori suggeriscono l’uso di strumenti di mass mailing preconfigurati, oltre a soluzioni custom sviluppate in Python e Node.js. Sono stati impiegati anche servizi cloud di posta elettronica e macchine virtuali ospitate nel cloud per la distribuzione delle email.
Una volta attivato il redirect OAuth, la vittima viene condotta su piattaforme di phishing-as-a-service come EvilProxy, in grado di intercettare credenziali e cookie di sessione.
In una delle campagne documentate, il redirect conduceva a un percorso /download/XXXX che avviava automaticamente il download di un archivio ZIP. Il contenuto includeva file LNK e loader basati su HTML smuggling.
L’apertura del file LNK innescava l’esecuzione di un comando PowerShell che avviava una fase di ricognizione del sistema. Successivamente veniva eseguito un file legittimo, steam_monitor.exe, utilizzato per effettuare side-loading di una DLL malevola denominata crashhandler.dll.
La DLL provvedeva a decrittare crashlog.dat ed eseguire il payload finale in memoria, stabilendo una connessione outbound verso un endpoint di command-and-control esterno.
Persistenza e rotazione dei domini: evasione dinamica
Un ulteriore elemento critico riguarda la flessibilità dell’infrastruttura attaccante. Ospitando il payload su URI di redirect controllati, gli attori malevoli possono ruotare rapidamente domini e destinazioni quando vengono bloccati dai filtri di sicurezza.
Questo approccio rende più complessa l’attività di detection basata su blacklist statiche e impone l’adozione di controlli comportamentali e analisi dei flussi OAuth anomali.
Condividi l'articolo
- crashhandler.dll, credential interception, DLL side-loading, EvilProxy, LNK malware, malware delivery, Microsoft Entra ID, OAuth phishing, OAuth redirect abuse, OAuth URL manipulation, phishing-as-a-service, PowerShell attack chain, sicurezza enti pubblici, steam_monitor.exe abuse
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Paradosso ransomware, pagamenti in calo ma attacchi ai... Il ransomware continua a evolvere come una delle minacce... -
Google API Keys: le chiavi pubbliche diventano credenziali... L’introduzione di funzionalità di intelligenza... -
Finanza nel mirino, incidenti raddoppiati nel 2025 Il settore finanziario sta vivendo una fase di forte... -
Davvero si può fare “jailbreak” di un caccia F-35? Durante un’intervista in un podcast, il segretario di... -
TrendAI: il 2026 sarà l’anno... L’intelligenza artificiale automatizzerà...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Phishing OAuth: campagne contro enti pubblici sfruttano... Nuove campagne di phishing stanno sfruttando in modo... -
Android: 129 vulnerabilità corrette, zero-day Qualcomm... Google ha rilasciato gli aggiornamenti di sicurezza Android... -
Una falla in Chrome sfrutta Gemini Live per scopi malevoli Palo Alto, azienda specializzata in sicurezza informatica,... -
Paradosso ransomware, pagamenti in calo ma attacchi ai... Il ransomware continua a evolvere come una delle minacce...
-
Google API Keys: le chiavi pubbliche diventano credenziali... L’introduzione di funzionalità di intelligenza...
Ransomware: la serie
No posts found.