Dallo scorso marzo, il gruppo criminale Storm-2657 ha orchestrato una serie di attacchi mirati per dirottare i pagamenti degli stipendi del personale delle università americane, utilizzando tecniche di social engineering sempre più raffinate per aggirare i sistemi di sicurezza tradizionali. Questa campagna, denominata "pirate payroll", ha già compromesso oltre 11 account in tre atenei diversi, dimostrando come i cybercriminali stiano evolvendo le loro strategie per colpire settori considerati relativamente sicuri.
Quando l'email diventa un'arma
Gli analisti di Microsoft Threat Intelligence hanno documentato come questi criminali informatici abbiano perfezionato l'arte dell'inganno digitale. Le loro email di phishing non seguono schemi generici, ma vengono personalizzate meticolosamente per ogni obiettivo specifico. I messaggi spaziano da false comunicazioni sui focolai di malattie nel campus a presunte segnalazioni di cattiva condotta del corpo docente, sfruttando temi che naturalmente catturano l'attenzione del personale universitario.
Particolarmente insidiose risultano le email che si spacciano per comunicazioni ufficiali del rettore riguardanti compensi e benefit, oppure documenti falsi condivisi dagli uffici risorse umane. Questa varietà tematica dimostra quanto approfondita sia la ricerca preliminare condotta dai criminali sui loro bersagli.
La tecnologia AITM: superare anche l'autenticazione a due fattori
Ciò che rende questi attacchi particolarmente pericolosi è l'utilizzo della tecnica adversary-in-the-middle (AITM). Questa metodologia consente ai cybercriminali di intercettare e rubare i codici di autenticazione a più fattori in tempo reale, neutralizzando così quella che molti considerano la principale difesa contro gli accessi non autorizzati. Una volta ottenuto l'accesso agli account Exchange Online, gli aggressori implementano regole automatiche per eliminare le email di notifica di Workday, operando nell'ombra senza destare sospetti.
Il passaggio successivo prevede l'accesso ai profili Workday attraverso il sistema di single sign-on, dove i criminali modificano le configurazioni di pagamento degli stipendi per dirottare i fondi verso conti correnti sotto il loro controllo. In alcuni casi, arrivano persino a registrare i propri numeri di telefono come dispositivi MFA per gli account compromessi, garantendosi una persistenza a lungo termine nel sistema.
L'effetto domino: da una vittima a migliaia di potenziali bersagli
Microsoft ha rivelato che gli 11 account compromessi sono stati utilizzati per inviare email di phishing a quasi 6.000 caselle di posta distribuite in 25 università diverse. Questo effetto moltiplicatore trasforma ogni vittima iniziale in una piattaforma di lancio per ulteriori attacchi, creando una rete di diffusione che si espande rapidamente attraverso il sistema universitario americano.
È importante sottolineare che questi attacchi non sfruttano vulnerabilità nella piattaforma Workday stessa, ma piuttosto la mancanza di sistemi MFA resistenti al phishing o la loro completa assenza. Questa distinzione è cruciale per comprendere che il problema risiede nell'implementazione delle misure di sicurezza piuttosto che nei software utilizzati.
Un fenomeno in crescita nel panorama criminale digitale
Gli attacchi "pirate payroll" rappresentano una variante particolarmente insidiosa delle truffe BEC (Business Email Compromise), che nel 2024 hanno causato perdite superiori ai 2,7 miliardi di dollari secondo l'FBI. Questi numeri, basati solo sui casi segnalati ufficialmente, probabilmente rappresentano solo la punta dell'iceberg di un fenomeno molto più vasto.
Microsoft ha già identificato i clienti colpiti e sta fornendo assistenza per gli sforzi di mitigazione. L'azienda ha inoltre pubblicato linee guida specifiche per investigare questi attacchi e implementare sistemi MFA resistenti al phishing, strumenti essenziali per proteggere gli account utente da questa nuova generazione di minacce informatiche sempre più sofisticate e mirate.
