Microsoft ha recentemente lanciato un allarme riguardo all'uso crescente di servizi di hosting file legittimi, come SharePoint, OneDrive e Dropbox, nelle campagne di compromissione delle email aziendali (BEC). Questi servizi, ampiamente utilizzati negli ambienti aziendali, vengono sfruttati dai cybercriminali come tattica per evitare le difese di sicurezza e complicare gli sforzi di attribuzione degli attacchi. L'obiettivo finale di queste campagne è vario e ampio, consentendo agli attori delle minacce di compromettere identità e dispositivi, condurre attacchi BEC che spesso sfociano in frodi finanziarie, esfiltrazione di dati e movimenti laterali verso altri endpoint.

Questa tecnica, nota anche come "living-off-trusted-sites" (LOTS), sfrutta la fiducia e la familiarità di questi servizi per aggirare le barriere di sicurezza delle email e distribuire malware. Dal mese di aprile 2024, Microsoft ha osservato una nuova tendenza nelle campagne di phishing che sfruttano i servizi di hosting file legittimi. Queste campagne coinvolgono file con accesso limitato e restrizioni di sola visualizzazione, rendendo difficile la rilevazione di URL incorporati all'interno dei file.

Gli attacchi spesso iniziano con la compromissione di un utente di un fornitore fidato, utilizzando l'accesso per posizionare file e payload dannosi sul servizio di hosting file, successivamente condivisi con l'entità bersaglio. I file inviati tramite email di phishing sono configurati per essere accessibili esclusivamente al destinatario designato, richiedendo l'autenticazione tramite l'inserimento dell'indirizzo email e una password temporanea ricevuta tramite servizio di notifica. Una volta autorizzato, il bersaglio è istruito a cliccare su un altro link per visualizzare i contenuti reali, ma viene reindirizzato a una pagina di phishing che sottrae la password e i token di autenticazione a due fattori (2FA).

Questo non solo permette agli attori delle minacce di prendere il controllo dell'account, ma anche di usarlo per perpetrare altre truffe, tra cui attacchi BEC e frodi finanziarie. Queste campagne, sebbene generiche e opportunistiche, utilizzano tecniche sofisticate per eseguire l'ingegneria sociale, eludere la rilevazione ed espandere la portata degli attori delle minacce ad altri account e tenant. Un ulteriore sviluppo è rappresentato dal kit di phishing AitM chiamato Mamba 2FA, venduto come phishing-as-a-service per condurre campagne di phishing email che propagano allegati HTML simulando pagine di accesso Microsoft 365. Questo kit, attivo dal novembre 2023, gestisce verifiche in due passaggi per metodi MFA non resistenti al phishing, inviando credenziali rubate e cookie agli attaccanti tramite un bot Telegram.