Barracuda Research fotografa le evoluzioni del phishing

Il panorama del phishing globale sta attraversando una fase di profonda trasformazione. Secondo le recenti analisi di Barracuda Research, la chiusura di una delle principali piattaforme di phishing-as-a-service, Tycoon 2FA, non ha ridotto in modo significativo il fenomeno, ma ha piuttosto innescato una rapida evoluzione delle tecniche di attacco. Lo smantellamento della piattaforma, avvenuto a inizio marzo nell’ambito di un’operazione internazionale, ha provocato un calo del 77% nelle attività legate a Tycoon 2FA. Prima dell’intervento, il kit era responsabile di oltre 9 milioni di attacchi mensili. Tuttavia, il vuoto lasciato è stato rapidamente colmato da nuovi attori.

Tra questi, Mamba 2FA è diventata la piattaforma dominante, raggiungendo circa 15 milioni di attacchi al mese. Crescono anche EvilProxy, con circa 4 milioni di attacchi, e Sneaky 2FA, che ha triplicato la propria attività fino a sfiorare i 2 milioni. Nonostante il colpo subito, Tycoon 2FA continua comunque a generare oltre 2 milioni di attacchi mensili.

Gli esperti evidenziano come questa resilienza sia dovuta alla natura “modulare” degli ecosistemi PhaaS: parti del codice continuano a circolare, spesso riutilizzate e adattate come in ambienti open source. Inoltre, infrastrutture residue – come domini attivi o sistemi di hosting di backup – permettono alle campagne di proseguire su scala ridotta, mentre i token rubati mantengono accessi non autorizzati anche dopo la chiusura delle operazioni.

La crescita del phishing tramite codice dispositivo

Parallelamente, sta emergendo una nuova tecnica particolarmente insidiosa: il phishing tramite codice dispositivo. In sole quattro settimane sono stati rilevati circa 7 milioni di attacchi basati su questo metodo, spesso industrializzato attraverso strumenti come EvilTokens. Questa tecnica sfrutta flussi di autenticazione legittimi utilizzati da piattaforme diffuse come Microsoft 365 ed Microsoft Entra ID. Gli aggressori inducono le vittime a inserire un codice su pagine autentiche, ottenendo così token di accesso validi senza bisogno di rubare password. I vantaggi per gli attaccanti sono evidenti: utilizzo di URL legittimi difficili da bloccare, aggiramento dell’autenticazione multifattoriale, accessi prolungati grazie ai token e possibilità di muoversi lateralmente nei sistemi senza generare allarmi. Il risultato è un accesso persistente agli ambienti cloud aziendali, spesso invisibile per settimane.

Un’ulteriore evoluzione è rappresentata da Saiga 2FA, un kit di tipo “Adversary-in-the-Middle” progettato per aggirare le difese più avanzate. Questo strumento si distingue per un’architettura dinamica che genera pagine di phishing in tempo reale tramite JavaScript, rendendo più difficile il rilevamento. Saiga consente agli attaccanti di personalizzare le campagne durante la sessione e utilizza tecniche elusive, come l’inserimento di contenuti “Lorem Ipsum” nei metadati per sfuggire ai sistemi di sicurezza. Include inoltre strumenti avanzati come FM Scanner, che analizza le caselle email compromesse per alimentare attacchi successivi. A differenza dei kit tradizionali, Saiga offre una dashboard centralizzata per la gestione completa delle campagne, con funzionalità di automazione, filtraggio del traffico e configurazione avanzata dei domini.

Un ecosistema criminale sempre più resiliente

Il quadro che emerge è quello di un ecosistema cybercriminale altamente adattivo. La chiusura di una piattaforma non elimina la minaccia, ma ne accelera l’evoluzione. Tecniche sempre più sofisticate, automazione e riutilizzo del codice rendono il phishing una minaccia persistente e in continua trasformazione. Per le aziende, questo significa che la difesa non può più basarsi solo su strumenti tradizionali: servono strategie integrate, monitoraggio continuo e maggiore consapevolezza degli utenti per contrastare attacchi sempre più credibili e difficili da individuare.