Microsoft 365 nel mirino degli hacker, che cos'è Quantum Route Redirect
Scoperta una piattaforma di phishing chiamata Quantum Route Redirect, sviluppata per violare gli account Microsoft 365 e automatizzare totalmente gli attacchi
In Sintesi
- Quantum Route Redirect è la nuova minaccia di Phishing-as-a-Service altamente evasiva che prende di mira gli utenti di Microsoft 365, conducendo l’attacco in piena autonomia.
- Questo toolkit è disponibile anche a noleggio e sfrutta un meccanismo di filtraggio intelligente che lo rende difficile da rilevare per i sistemi di sicurezza, rappresentando un grave pericolo globale per i dati aziendali e governativi.
La sicurezza informatica globale è in pericolo e a mettere in allarme gli esperti è un nuovo strumento di phishing chiamato Quantum Route Redirect (QRR). Si tratta di una delle piattaforme più sofisticate mai impiegate per il furto di credenziali ed è in grado di sfruttare oltre 1.000 domini attivi per condurre attacchi mirati contro gli utenti di Microsoft 365, eludendo i tradizionali sistemi di difesa.
Una minaccia concreta, dunque, che può mettere in pericolo i dati e la privacy delle persone che utilizzano la suite per la produttività di Microsoft, con conseguenze devastanti per aziende e Governi in tutto il mondo.
Come funziona Quantum Route Redirect
Il toolkit QRR è stato sviluppato con un obiettivo preciso: rendere il phishing accessibile a tutti. E infatti questo strumento è addirittura disponibile come servizio a noleggio (Phishing-as-a-Service) ed è rivolto anche a criminali informatici con competenze limitate. La pericolosità del modello, dunque, sta proprio nella sua accessibilità e nella sua capacità di automatizzare quasi tutte le fasi di un attacco, riducendo drasticamente i tempi di preparazione.
Secondo un rapporto dell’azienda di sicurezza KnowBe4, da agosto si è registrato un aumento significativo nell’uso di QRR, che ha riguardato il 75% degli attacchi osservati negli Stati Uniti. Dati alla mano, è lecito ipotizzare che la diffusione globale del sistema sia imminente e che l’Europa, in particolare il settore aziendale, potrebbe essere la prossima grande vittima.
La piattaforma gestisce l’intero processo di compromissione: dal reindirizzamento del traffico attraverso siti web violati fino all’analisi automatica delle credenziali rubate, fornite agli attaccanti in tempo reale.
Come spesso accade nel phishing, tutto inizia con un’e-mail, con gli hacker che sfruttano comunicazioni apparentemente legittime per spingere le vittime a cliccare su link ingannevoli. Una volta aperto il collegamento, l’utente viene indirizzato a una falsa pagina di accesso costruita con estrema cura. L’URL, spesso ospitato su domini compromessi ma autentici, risulta credibile e induce a errore anche gli utenti più cauti. L’obiettivo è sempre lo stesso: rubare le credenziali di accesso agli account Microsoft 365, da cui poi è possibile avviare ulteriori attacchi interni, diffondere malware o compromettere l’intera infrastruttura aziendale.
Inoltre, uno degli elementi che rende Quantum Route Redirect particolarmente difficile da contrastare è il suo meccanismo di filtraggio intelligente. Il sistema è in grado di distinguere tra un utente umano e un software di analisi automatizzato (come quelli per i servizi di sicurezza o per gli scanner anti-phishing) e quando lo riconosce mostra contenuti innocui, spesso una semplice pagina di errore o un sito legittimo. Questo riduce drasticamente la probabilità che la campagna venga individuata dai sistemi di monitoraggio, rendendo QRR una minaccia altamente evasiva.
Come proteggersi da minacce del genere
Secondo gli esperti QRR è parte di una nuova generazione di servizi automatizzati di phishing sviluppati, come già accennato, per “democratizzare” questi sistemi malevoli e renderli alla portata di tutti, anche dei meno esperti in materia.
Per difendersi si raccomanda alle aziende un approccio multilivello, partendo sicuramente dalla formazione continua del personale per riconoscere e segnalare e-mail sospette e arrivando fino a controlli avanzati sugli URL e all’analisi comportamentale dei link. Importante anche sviluppare sistemi di monitoraggio proattivo degli account per individuare accessi anomali che possano bloccare immediatamente le credenziali compromesse e, naturalmente, investire ne rafforzamento dell’autenticazione a più fattori (MFA).
