Gli hacker sfruttano la funzione di Microsoft 365 per inviare email di phishing

Il team forense Managed Data Detection and Response (MDDR) di Varonis ha scoperto una sofisticata campagna di phishing che utilizza la funzione “Direct Send” di Microsoft per falsificare utenti interni e inviare email di phishing senza mai dover compromettere un account.

Secondo i ricercatori di Varonis, questa campagna, attiva da maggio 2025, ha preso di mira oltre 70 organizzazioni—principalmente negli Stati Uniti—abusando di una funzione progettata per aiutare dispositivi come le stampanti a inviare email senza autenticazione. Questa funzione è ora manipolata dagli attori delle minacce per inviare email ingannevoli che sembrano provenire dall’interno di un’organizzazione, il tutto senza violare un singolo account.

“La semplicità di questo attacco è ciò che lo rende così pericoloso,” ha dichiarato Michael Solomon, che ha guidato l’analisi forense presso Varonis. “Non hai bisogno di credenziali, malware o anche accesso all’ambiente target. Tutto ciò di cui hai bisogno è un IP pubblico e un semplice script PowerShell.”

Come Funziona L’Attacco

Direct Send è una funzione in Microsoft Exchange Online che consente a dispositivi e applicazioni di inviare email all’interno di un tenant Microsoft 365 senza autenticazione utilizzando un smart host (ad es., tenantname.mail.protection.outlook.com). È stata progettata per uso interno e non richiede credenziali di accesso.

Questo crea un’opportunità per gli attaccanti: se possono identificare il dominio del tenant e indovinare un indirizzo email valido (un formato comune come [email protected]), possono inviare email falsificate che sembrano originare dall’interno dell’organizzazione, senza mai effettuare il login o toccare il tenant.

Poiché questi messaggi falsificati vengono instradati attraverso l’infrastruttura di Microsoft, spesso bypassano i filtri email che si basano sull’autenticazione del mittente, sulla reputazione o su segnali di instradamento esterni. Di conseguenza, le email sembrano essere messaggi interni legittimi.

PowerShell Rende Facile

Per lanciare gli attacchi, gli hacker hanno utilizzato semplici script PowerShell per inviare email falsificate tramite Direct Send. Questi messaggi imitano avvisi interni legittimi, spesso con oggetti come “ Nuovo messaggio fax non ricevuto ” o “ Il chiamante ha lasciato un messaggio in segreteria.” Le email contenevano tipicamente allegati PDF travestiti da messaggi vocali. Questi PDF includono codici QR che reindirizzano gli utenti a siti di raccolta credenziali.

Il team forense MDDR di Varonis ha collegato più istanze basate su somiglianze negli indirizzi IP del mittente, nel contenuto dei messaggi e nel comportamento. Un esempio reale ha coinvolto attività email provenienti da un indirizzo IP ucraino senza alcun tentativo di login—un modello insolito che ha indicato un abuso di Direct Send.

Perché Queste Email Evadono la Rilevazione

Diversi fattori consentono a questi messaggi di eludere gli strumenti di sicurezza tradizionali:

• Non è richiesta autenticazione per inviare tramite Direct Send.
• Le email sembrano originare dall’interno dell’organizzazione.
• Falliscono i controlli SPF, DKIM e DMARC ma possono comunque essere consegnate.
• Il filtraggio di Microsoft potrebbe trattare questi come messaggi interni.

Rilevare questi attacchi implica ispezionare attentamente le intestazioni delle email per segni insoliti, come IP esterni che interagiscono con lo smart host e controlli di autenticazione falliti. Altri segnali comportamentali di allerta includono email inviate dai propri indirizzi, messaggi inviati utilizzando PowerShell e attività email provenienti da luoghi inaspettati o stranieri.

Misure Protettive

Per difendersi e proteggersi da questa minaccia, Varonis raccomanda che le organizzazioni adottino i seguenti passaggi:

• Abilitare “Rifiuta Direct Send” nel Centro Amministrativo di Exchange.
• Implementare una politica DMARC rigorosa (ad es., p=reject).
• Segnalare o mettere in quarantena i messaggi interni non autenticati.
• Applicare le impostazioni “SPF hardfail” all’interno di Exchange Online Protection (EOP).
• Utilizzare politiche anti-falsificazione.
• Educare i dipendenti riguardo al phishing e agli attacchi basati su codici QR (noto anche come “quishing”).
• Monitorare comportamenti di invio email insoliti come messaggi autoindirizzati e utilizzo di IP inaspettati.
• Applicare un indirizzo IP statico nel record SPF per prevenire abusi di invio indesiderati—una prassi consigliata, anche se opzionale, da Microsoft.

“Direct Send è una funzione potente, ma nelle mani sbagliate diventa un vettore d’attacco pericoloso. Se non stai monitorando attivamente le email interne falsificate o non hai abilitato queste protezioni, ora è il momento. Non assumere che interno significhi sicuro,” ha concluso Varonis.