Negli ultimi mesi, le campagne di phishing contro Microsoft 365 hanno visto una crescita significativa nell’uso di strumenti avanzati come Axios e kit per il phishing 2FA, come Salty 2FA, rendendo queste minacce più sofisticate e difficili da rilevare. Axios, una popolare libreria HTTP per JavaScript, è stata sfruttata dai cybercriminali per automatizzare l’invio di richieste HTTP e ricevere risposte dai server, facilitando così attacchi di takeover degli account. Dai dati di settore, tra giugno e agosto 2025, l’attività legata ad Axios è aumentata del 241%, rappresentando quasi un quarto delle attività sospette rilevate in questo periodo.

Abuso di Microsoft Direct Send e Integrazione con Axios

Una delle tecniche più efficaci adottate dai cybercriminali consiste nell’abusare della funzione Microsoft Direct Send, legittima funzione di Microsoft 365, per inviare email di phishing che riescono a superare i gateway di sicurezza tradizionali e arrivare nelle caselle degli utenti senza essere rilevate. L’integrazione di Axios con Direct Send ha portato a una percentuale di successo delle campagne di phishing che arriva fino al 70%, superando di gran lunga le campagne che non fanno uso di Axios.

Target delle Campagne e Tecniche di Inganno

Queste campagne iniziano spesso prendendo di mira figure dirigenziali nei settori finance, sanità e manifatturiero, per poi espandersi verso altri utenti. Gli attaccanti utilizzano messaggi email che attirano l’attenzione su tematiche di compensi o pagamenti e includono PDF con codici QR malevoli: scansionandoli, le vittime vengono indirizzate verso pagine di accesso false che imitano l’interfaccia di Microsoft Outlook. Alcune di queste pagine sono ospitate su Google Firebase, sfruttando la buona reputazione della piattaforma per evitare blocchi automatici.

Funzionalità Avanzate di Axios negli Attacchi

Axios viene utilizzato anche per intercettare, modificare e ripetere le richieste HTTP, consentendo agli attaccanti di rubare token di sessione o codici MFA in tempo reale, oppure sfruttare token SAS nei workflow di autenticazione Azure. Inoltre, la sua diffusione in ambienti enterprise e tra sviluppatori permette agli attaccanti di mimetizzarsi nel traffico legittimo, rendendo più difficile l’individuazione dell’attacco.

Kit Salty 2FA e Nuove Strategie di Phishing

A peggiorare il quadro, kit come Salty 2FA permettono di simulare diversi metodi di autenticazione a due fattori, ingannando le vittime e superando la protezione MFA. Questi kit utilizzano landing page ben personalizzate, tecniche di geofencing, IP filtering, e verifiche per bloccare strumenti automatizzati e rendere l’analisi più complessa. Il risultato è una nuova generazione di campagne di phishing, capaci di bypassare le difese tradizionali, ingannare gli utenti anche più esperti e portare avanti operazioni di credential harvesting su larga scala.

Strategie di Mitigazione

Per mitigare questi rischi, le organizzazioni devono valutare la necessità di Direct Send, applicare policy anti-spoofing avanzate, formare i dipendenti sul riconoscimento del phishing, e monitorare il traffico per individuare comportamenti sospetti.