I ricercatori di Microsoft hanno scoperto un nuovo attacco phishing effettuato dal gruppo Storm-2372 contro gli utenti che usano il servizio Teams. I cybercriminali russi hanno sfruttato una tecnica poco comune per catturare i token di autenticazione e prendere il controllo dell’account.
Device code phishing
La tecnica utilizzata dal gruppo Storm-2372 si chiama “device code phishing“. Le app installate su dispositivi privi di tastiera o mouse, come le smart TV o i Fire TV Stick, mostrano sullo schermo un codice di autenticazione che deve essere inserito nell’app presente sullo smartphone o sul computer. Una simile procedura è stata sfruttata dai cybercriminali russi.
Durante l’attacco viene generato un codice di autenticazione che le ignare vittime inseriscono nella pagina di login legittima. In questo modo, i cybercriminali ottengono i token di autenticazione che permettono di accedere all’account e ai dati dell’utente. Possono accedere anche ad altri servizi, come email e cloud storage, finché il token rimane valido.
I cybercriminali contattano le vittime tramite WhatsApp, Signal e altre app di messaggistica, dichiarando di essere una persona conosciuta. Ad un certo punto viene chiesto di partecipare ad un meeting su Teams, utilizzando il codice dell’invito inviato tramite messaggio o email. Quel codice permette invece di catturare i token di autenticazione e di prendere il controllo dell’account Microsoft.
Più recentemente è stato utilizzato un client ID per Microsoft Authentication Broker che consente di richiedere un nuovo token, dopo la scadenza del precedente. Ciò garantisce la persistenza e permette ai cybercriminali di associare i loro dispositivi al servizio Entra ID (ex Azure Active Directory).
Microsoft ha fornito alcuni consigli per limitare i rischi, come l’uso dell’autenticazione multi-fattore tramite passkey o token fisico.
Ti potrebbe interessare
17 feb 2025