Due tecniche separate mostrano come gli attaccanti facciano leva sulla fiducia degli utenti - una tramite un'esca macOS promossa, l'altra tramite l'abuso di token Microsoft 365 basato sul browser.
ConsentFix e ClickFix mostrano come un prompt falso e un flusso OAuth possano trasformare i controlli di identità di Microsoft 365 in un problema di furto di token in rapido movimento.
La catena malware segnalata prende di mira il flusso OAuth di Google, mostrando come una sessione browser attiva possa diventare il vero obiettivo in una compromissione della posta elettronica.
Una catena malware segnalata chiamata Umbrij trasforma la legittima autorizzazione Google in un percorso furtivo verso l'accesso aziendale a Gmail, evidenziando come l'identità cloud possa diventare il punto debole.
Una rivendicazione di attacco pubblicata e attribuita a Fluke Corporation non è verificata, ma ricalca il tipo di schema di estorsione basato sull'identità che oggi i difensori osservano nelle aziende cloud-first.
Una voce su una leak page sostiene che un enorme dataset Salesforce collegato a Fluke Corporation sia stato sottratto, ma la lezione tecnica è più ampia: è l’abuso dell’identità, non il malware, la via preferita verso i dati aziendali nel cloud.
Una presunta operazione ToddyCat indica una forma più silenziosa di abuso degli account: sideloading su Windows, debug remoto del browser e flusso di token OAuth invece del furto diretto delle credenziali.
Uno strumento .NET segnalato e collegato a ToddyCat trasforma il flusso di consenso di Google in un percorso di accesso, mostrando perché l'abuso dei token merita ormai un posto nella checklist di ogni difensore.
Un elenco di vittime collegato al nome Icarus richiama un rischio SaaS familiare: se l'accesso al CRM viene abusato, i danni possono derivare da normali esportazioni e integrazioni, non da malware appariscenti.
Un'integrazione app disabilitata è diventata una lezione sull'accesso delegato, in cui un singolo token abusato può costringere una piattaforma a chiudere la porta su un intero percorso dati.
Un marchio di estorsione con nome, un dominio web vicino a quello governativo e un token di 64 caratteri bastano a suscitare preoccupazione, ma non a dimostrare una violazione.
Un elenco di vittime e una scadenza del 15 giugno hanno trasformato una singola affermazione di dati non verificata in una prova dal vivo della risposta a una violazione, del rischio identitario e della pressione su una società quotata.
Un elenco di presunte vittime legato a Nexstar.tv mostra come la moderna estorsione di dati si basi più sull'accesso SaaS, sull'abuso dell'identità e sul branding della pressione che su malware appariscenti.
Un elenco su Ransomware.live cita DentaQuest, LLC e ShinyHunters, ma il registro pubblico supporta una superficie di rivendicazione, non una violazione confermata.
Un post pubblico di estorsione che nomina DentaQuest, LLC ricorda che le moderne campagne di furto di dati spesso si basano su accesso, esfiltrazione e minacce di divulgazione più che sulla sola crittografia.
Un post attribuito a ShinyHunters afferma che i dati di Baker Distributing Company siano stati sottratti da Salesforce, sottolineando come l’abuso dell’identità nel cloud possa trasformare normali record aziendali in leva di ricatto.
Una campagna di phishing-as-a-service costruita sul flusso di accesso con codice dispositivo di Microsoft mostra perché un prompt MFA riuscito non è più la fine della storia.