Secondo un nuovo rapporto di Microsoft Threat Intelligence, il gruppo Storm-2657, mosso da motivazioni finanziarie, sta conducendo attacchi su larga scala contro università e aziende, utilizzando account rubati dai dipendenti per reindirizzare gli stipendi sui propri conti bancari.

Gli esperti definiscono questo tipo di attacco “pirateria delle buste paga”. Durante la campagna, gli aggressori hanno cercato di accedere a piattaforme HR basate su cloud, come Workday, per alterare i dati di pagamento delle vittime.

Un’indagine di Microsoft ha rivelato che la campagna era attiva dalla prima metà del 2025. Gli aggressori hanno utilizzato e-mail di phishing accuratamente progettate per rubare codici di autenticazione a più fattori utilizzando schemi Adversary-in-the-Middle ( AitM ).

Dopo aver ottenuto le credenziali di accesso, si sono infiltrati nelle caselle di posta dei dipendenti e nei servizi HR aziendali, dove hanno modificato i parametri di pagamento. Per nascondere le loro tracce, Storm-2657 ha creato regole di Outlook che eliminavano automaticamente le notifiche di Workday relative a qualsiasi modifica del profilo.

Microsoft ha registrato almeno 11 compromissioni di account andate a buon fine in tre università. Questi indirizzi sono stati poi utilizzati per inviare migliaia di email di phishing ad altri campus, per un totale di circa 6.000 potenziali vittime in 25 università.

Alcuni messaggi sembravano notifiche di malattia o un’indagine su un incidente nel campus. Gli oggetti includevano “Caso simile al COVID segnalato: controlla lo stato del tuo contatto” o “Segnalazione di cattiva condotta da parte del corpo docente“. Altre email imitavano le email delle risorse umane e contenevano link a documenti presumibilmente ufficiali su retribuzioni e compensi. Google Docs, uno strumento comune in ambito accademico, è stato spesso utilizzato per camuffarsi, rendendo gli attacchi difficili da rilevare.

Una volta ottenuto l’accesso, gli aggressori hanno modificato i profili delle vittime, sostituendo spesso i conti bancari utilizzati per i trasferimenti di stipendio. In alcuni casi, hanno anche aggiunto i propri numeri di telefono come dispositivi MFA , riuscendo così a mantenere il controllo del profilo all’insaputa del proprietario. Queste operazioni sono state registrate nei log di Workday come eventi “Modifica account” o “Gestisci scelte di pagamento“, ma gli utenti non ne sono stati informati a causa dei filtri e-mail.

Microsoft sottolinea che gli attacchi non sono correlati a vulnerabilità dei prodotti Workday in sé. Il problema risiede nella mancanza o nella debolezza della protezione MFA. Pertanto, l’azienda esorta le organizzazioni a migrare verso metodi di autenticazione avanzati e resistenti al phishing: chiavi FIDO2, Windows Hello for Business e Microsoft Authenticator.

Si consiglia agli amministratori di forzare questi metodi in Entra ID e di implementare l’autenticazione senza password.

La pubblicazione di Microsoft delinea le richieste di strumenti di sicurezza in grado di rilevare segnali di intrusione, da regole di posta elettronica sospette a modifiche nei dettagli di pagamento e nuovi dispositivi MFA.

L’azienda riferisce inoltre di aver già contattato alcune organizzazioni interessate, fornendo loro informazioni sui TTP utilizzati e raccomandazioni per ripristinare la sicurezza.

L'articolo Arriva la “pirateria delle buste paga”! E il bonifico dello stipendio va ai criminali proviene da Red Hot Cyber.