Un gruppo di criminalità informatica identificato come Storm-2657 ha preso di mira i dipendenti universitari statunitensi dal marzo 2025, utilizzando attacchi “pirati del libro paga” per compromettere gli account e dirottare i pagamenti degli stipendi attraverso sofisticate tattiche di ingegneria sociale intese a bypassare le misure di sicurezza. Analisti di Microsoft Threat Intelligence che scoperto la campagna ha osservato che gli autori delle minacce prendono di mira specificamente gli account Workday per dirottare le buste paga. Gli analisti hanno notato, tuttavia, che i metodi di attacco non sono esclusivi di una piattaforma, indicando che anche altri sistemi SaaS (Software-as-a-Service) di risorse umane di terze parti potrebbero essere vulnerabili a tecniche di infiltrazione simili. L’attenzione rimane sulle piattaforme che gestiscono dati sensibili dei dipendenti e transazioni finanziarie. Secondo un rapporto di Microsoft, la portata dell’operazione è stata significativa. “Abbiamo osservato 11 account compromessi con successo in tre università che venivano utilizzati per inviare phishing e-mail a quasi 6.000 account di posta elettronica in 25 università”, ha affermato l’azienda, descrivendo in dettaglio la natura diffusa del tentativo di phishing. Il rapporto chiarisce esplicitamente che le violazioni riuscite non sono il risultato di una vulnerabilità del software all’interno della piattaforma Workday stessa. Invece, il successo degli aggressori dipende da una combinazione di ingegneria sociale avanzata e lacune di sicurezza nelle istituzioni prese di mira. Microsoft ha sottolineato questo punto, affermando: “Questi attacchi non rappresentano alcuna vulnerabilità nella piattaforma o nei prodotti Workday, ma piuttosto autori di minacce motivati dal punto di vista finanziario che utilizzano sofisticate tattiche di ingegneria sociale e approfittano della completa mancanza di autenticazione a più fattori (MFA) o della mancanza di MFA resistente al phishing per compromettere gli account. Per eseguire gli attacchi, Storm-2657 crea e-mail di phishing personalizzate per ciascun bersaglio per aumentarne la credibilità e la probabilità di successo. I temi di queste email sono vari e pensati per provocare una risposta immediata da parte del destinatario. Esempi di queste comunicazioni ingannevoli includono avvisi urgenti su epidemie di malattie nei campus, rapporti sensibili riguardanti presunta cattiva condotta dei docenti ed e-mail che impersonano il presidente dell’università. Altre esche coinvolgono messaggi che sembrano provenire dalle risorse umane, che condividono informazioni su retribuzioni e benefici dei dipendenti o che si collegano a documenti delle risorse umane falsificati che richiedono le credenziali dell’utente per accedere. Il metodo tecnico per la compromissione iniziale prevede l’uso di collegamenti AITM (Adversary-in-the-middle) incorporati nelle e-mail di phishing. Quando una vittima fa clic su questi collegamenti, viene indirizzata a una pagina di accesso falsa che intercetta le sue credenziali, comprese eventuali codici di autenticazione a più fattori immessi. Questo furto di codici MFA è ciò che consente agli autori delle minacce di ottenere un accesso non autorizzato all’account Exchange Online della vittima, stabilendo il primo punto d’appoggio all’interno della rete dell’università. Una volta all’interno di un account di posta elettronica violato, gli aggressori adottano misure immediate per coprire le proprie tracce e facilitare il furto finanziario. Configurano nuove regole della posta in arrivo progettate per trovare ed eliminare automaticamente qualsiasi email di notifica di avviso inviata da Workday. Questa azione impedisce il l’utente legittimo venga avvisato di successive modifiche non autorizzate apportate al proprio profilo. Con questo occultamento, gli aggressori utilizzano il Single Sign-On (SSO) per passare dall’account e-mail compromesso direttamente al profilo Workday della vittima. Da lì, alterano le configurazioni di pagamento degli stipendi, reindirizzando i futuri depositi sui salari verso conti finanziari sotto il loro controllo. Gli account compromessi fungono anche da trampolino di lancio per espandere l’attacco. “Seguendo il “, ha aggiunto Microsoft. Per mantenere l’accesso a lungo termine, gli aggressori hanno stabilito la persistenza registrando i propri numeri di telefono come dispositivi MFA per gli account compromessi. Ciò è stato fatto attraverso i profili Workday o le impostazioni Duo MFA associate, consentendo loro di approvare future azioni dannose ed eludere il rilevamento anche se le password venivano modificate. In risposta alla campagna, Microsoft ha identificato i clienti interessati e ne ha contattati alcuni per fornire assistenza nella mitigazione. L’azienda ha inoltre pubblicato una guida dettagliata per aiutare le organizzazioni a indagare su questi attacchi e a implementare una MFA resistente al phishing, una difesa chiave per proteggere gli account degli utenti da questo tipo di compromissione. Questi attacchi “pirati del libro paga” sono classificati come una variante della posta elettronica aziendale truffe di compromesso (BEC), che prendono di mira in generale aziende e privati che elaborano regolarmente pagamenti tramite bonifico bancario.
