Martedi 07 Luglio 2026 05:38:42 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Accesso Fantasma: come gli hacker dirottano Microsoft Teams e Google Ads per violare le tue difese

Pubblicato: 07 Maggio 2026 11:02Categoria: Security Awareness & Social EngineeringArea: Middle EastAutore: LOGICFALCON

Gruppi sostenuti da Stati e cybercriminali stanno usando piattaforme fidate e astuzie ingegnose per rubare credenziali e aggirare l’autenticazione a più fattori-lasciando esposte anche le organizzazioni più sicure.

Tutto inizia con un clic: un annuncio Google apparentemente innocuo, o una chat amichevole su Microsoft Teams. Nel 2026, queste interazioni digitali quotidiane sono diventate terreni di caccia per attori di minaccia sofisticati-che vanno dai cybercriminali dell’Europa orientale agli hacker iraniani sponsorizzati dallo Stato. Il loro obiettivo? La compromissione totale dei tuoi sistemi più sensibili, il tutto eludendo persino le misure di sicurezza più robuste come l’autenticazione a più fattori (MFA).

Fatti rapidi

  • Gli hacker stanno piazzando Google Ads falsi sopra i risultati legittimi per rubare le credenziali di GoDaddy ManageWP.
  • Gli attaccanti usano tattiche “adversary-in-the-middle” (AiTM) per inoltrare gli accessi in tempo reale, vanificando le protezioni MFA.
  • Il gruppo APT iraniano MuddyWater ha usato social engineering su Microsoft Teams per rubare credenziali e dirottare l’MFA, camuffandosi da ransomware.
  • Account ManageWP compromessi possono dare agli attaccanti il controllo di centinaia di siti WordPress in una sola volta.
  • Sia attori criminali sia attori statali stanno sfruttando la fiducia nelle piattaforme mainstream per lanciare attacchi ad alto impatto.

Dietro la violazione: malvertising e messaggistica come vettori d’attacco

All’inizio del 2026, ricercatori di sicurezza hanno scoperto un’ondata di attacchi che prendevano di mira gli amministratori di ManageWP di GoDaddy-uno strumento vitale per controllare flotte di siti WordPress. Lo schema era astutamente semplice: gli hacker acquistavano Google Ads che imitavano ManageWP, posizionandoli in cima ai risultati di ricerca. Gli utenti ignari che cliccavano su questi annunci finivano su pagine di phishing quasi perfette, dove le loro credenziali di accesso-e persino i codici MFA temporanei-venivano sottratti in tempo reale tramite proxy adversary-in-the-middle (AiTM).

I dati rubati venivano inoltrati istantaneamente a canali Telegram controllati dagli attaccanti, garantendo accesso immediato a interi portafogli di siti web. I ricercatori hanno rilevato che l’operazione di phishing girava su un framework personalizzato, di matrice russa, con un pannello operatore che consentiva agli attaccanti di controllare in modo interattivo ogni sessione e gestire le richieste MFA. Le evidenze suggerivano oltre 200 vittime, con un bilancio reale probabilmente molto più alto a causa dell’ampio utilizzo di ManageWP.

Nel frattempo, su un altro fronte, il gruppo APT iraniano MuddyWater è stato colto mentre trasformava Microsoft Teams in un’arma. Fingendosi supporto IT, attiravano i dipendenti a condividere credenziali via chat e condivisione schermo, arrivando persino a istruirli a registrare dispositivi controllati dagli attaccanti per l’MFA. Gli aggressori distribuivano strumenti di accesso remoto carichi di malware, stabilendo punti d’appoggio persistenti nelle reti delle vittime. In modo significativo, usavano il branding del gruppo ransomware Chaos come cortina fumogena, mascherando le loro motivazioni di spionaggio dietro il caos di un presunto incidente ransomware. Il loro vero obiettivo: accesso di lungo periodo, non pagamenti di riscatto.

Entrambe le campagne riflettono una tendenza inquietante: gli attaccanti non stanno più sfondando a forza. Invece, stanno sfruttando la fiducia cieca che gli utenti ripongono in piattaforme familiari-motori di ricerca, app di chat e prompt MFA. Mescolando social engineering e furtività tecnica, aggirano persino le difese avanzate, trasformando gli stessi strumenti pensati per proteggerci nelle loro armi.

Difendersi contro la mano invisibile

Gli esperti di sicurezza consigliano un ritorno alle basi: non fidarsi mai dei link sponsorizzati per gli accessi, verificare sempre gli URL e salvare tra i preferiti le pagine amministrative ufficiali. Le organizzazioni dovrebbero esaminare con attenzione i messaggi Teams non richiesti, monitorare strumenti di accesso remoto sospetti e verificare le registrazioni dei dispositivi MFA. Soprattutto, i difensori devono guardare oltre il “rumore” del ransomware per individuare i veri obiettivi che si nascondono sotto la superficie di ogni violazione.

Il messaggio è chiaro: in un mondo in cui la fiducia viene trasformata in un’arma, la vigilanza è la tua ultima linea di difesa.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre drasticamente il rischio di furto credenziali e bypass dell’MFA in scenari di phishing e attacchi “adversary-in-the-middle”, come quelli che sfruttano annunci sponsorizzati e messaggistica aziendale. Supporta autenticazione forte basata su standard FIDO2/WebAuthn e U2F, evitando l’uso di codici OTP intercettabili e legando l’accesso al dominio legittimo. Funziona via USB e NFC, utile sia su PC sia su smartphone, ed è compatibile con molti servizi cloud e account aziendali. È indicata per amministratori IT e team che gestiscono accessi privilegiati e pannelli di gestione web. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Avversario: Un avversario è qualsiasi persona o gruppo che tenta di violare sistemi informatici o dati, spesso per scopi malevoli come furto o sabotaggio.
  • Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.
  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso inducendo gli utenti a cliccare su link dannosi-anche su siti web considerati affidabili.