Proofpoint ha pubblicato una nuova ricerca che dimostra come gli attaccanti stiano abusando sempre più spesso delle regole delle caselle di posta di Microsoft 365 come meccanismo di persistenza invisibile a seguito della compromissione di un account, consentendo esfiltrazione di dati, frodi relative alle buste paga e sofisticati attacchi di tipo Business Email Compromise, senza dover ricorrere all’installazione di malware.
Negli ambienti di posta di Microsoft 365, gli attaccanti ottengono tipicamente accesso iniziale tramite phishing delle credenziali, password spraying, attacchi di forza bruta o abuso del consenso OAuth.
Una volta all’interno, operano in modo furtivo e persistente, invece di procedere con un’interruzione immediata. Anziché implementare malware o infrastrutture C2, abusano delle funzionalità native della piattaforma per operare senza essere rilevati sotto l’identità compromessa.
Una tecnica particolarmente efficace per mantenere la persistenza è la creazione di regole malevole per la casella di posta. Sebbene queste siano progettate per aiutare gli utenti a organizzare le email, gli attaccanti le sfruttano per eliminare, nascondere, inoltrare o contrassegnare i messaggi come letti, controllando silenziosamente il flusso di email senza allertare la vittima.
Dai risultati principali della ricerca emerge che:
- Le regole della casella di posta sono una tattica post-compromissione ad alto rischio. Gli attaccanti abusano delle regole native per esfiltrazione, persistenza e manipolazione delle comunicazioni. In combinazione con servizi di terze parti e spoofing del dominio, gli attaccanti possono dirottare conversazioni, impersonare vittime e manipolare le comunicazioni con i fornitori, il tutto senza farsi intercettare a livello di rete.
- È una tecnica più comune di quanto si pensi: circa il 10% degli account compromessi nel Q4 2025 presentava regole della casella di posta pericolose create poco dopo l’accesso iniziale.
- Gli attaccanti usano schemi riconoscibili. Le regole malevole utilizzano prevalentemente nomi minimi e senza senso (., …, 😉 e prediligono azioni come l’eliminazione di messaggi o il loro spostamento in cartelle raramente controllate come Archivio o Sottoscrizioni RSS.
- La persistenza sopravvive ai reset delle password. Le regole di inoltro e soppressione rimangono attive dopo le modifiche delle credenziali, consentendo una continua fuga di dati finché la regola esiste.
- Gli strumenti di automazione consentono ai cyber criminali di distribuire regole dannose su più account in pochi minuti.
Raccomandazioni per mitigare i rischi
Le seguenti solide misure preventive riducono significativamente la probabilità e l’impatto dell’abuso delle regole della casella di posta:
- Disabilitare l’inoltro automatico esterno: bloccare, per impostazione predefinita, l’inoltro automatico verso indirizzi esterni in Exchange Online, vanificando uno dei meccanismi di esfiltrazione e persistenza più comuni.
- Applicare criteri di accesso condizionale: richiedere la MFA, limitare l’accesso in base alla conformità del dispositivo e alla posizione e l’autenticazione legacy, e applicare controlli basati sul rischio per ridurre il successo di attacchi di phishing, password spraying e token replay.
- Monitorare concessioni OAuth e modifiche al consenso: tracciare nuove registrazioni di app OAuth, concessioni di autorizzazioni e modifiche, in particolare quelle che coinvolgono gli ambiti Mail.Read, Mail.ReadWrite o offline_access, per rilevare accesso persistente senza password.
