Un kit di phishing particolarmente insidioso punta agli utenti di Microsoft 365, sottraendo credenziali e token di autenticazione. A identificarlo è Barracuda Networks, che lo osserva da luglio 2025 e lo ha chiamato Whisper 2FA. Una minaccia tenace e in rapida crescita, costruita con accorgimenti tecnici capaci di confondere difese e analisi.
Attacchi su larga scala
Negli ultimi trenta giorni, gli specialisti di Barracuda hanno intercettato quasi un milione di tentativi attribuiti a Whisper 2FA, dispiegati in campagne di phishing massicce contro account Microsoft 365. Il volume è tale da collocare questo kit come il terzo servizio di Phishing-as-a-Service più diffuso, subito dopo Tycoon ed EvilProxy. La portata numerica non è un mero dato statistico: esprime la capacità degli attaccanti di industrializzare i propri processi, sfruttando piattaforme “chiavi in mano” per colpire in modo coordinato e ripetuto, con un’efficienza che mette a dura prova le difese aziendali.
La pericolosità di Whisper 2FA non si esaurisce nel furto di credenziali: il kit mira ai token di autenticazione, elemento che apre la strada all’accesso fraudolento anche in presenza di protezioni aggiuntive. Barracuda descrive una minaccia tecnica e adattiva, progettata per sfruttare l’ecosistema M365 con precisione chirurgica. Per le organizzazioni, significa confrontarsi con una pressione incessante, dove la prevenzione deve convivere con la capacità di rilevare e reagire in tempi strettissimi, perché ogni secondo guadagnato dagli attaccanti aumenta le probabilità che l’intrusione si trasformi in compromissione.
Dentro Whisper 2FA: il ciclo infinito di furto e l’adattamento all’MFA
Il cuore operativo del kit è un loop che ripete la raccolta delle credenziali finché gli aggressori non ottengono un token di autenticazione a più fattori (MFA) valido. Codici errati o scaduti non interrompono il flusso: la vittima viene indotta a riprovare, a reinserire i dati e a generare nuovi codici, finché uno non funziona. L’architettura è stata concepita per adeguarsi a qualunque metodo di MFA, trasformando la resilienza dell’utente in un paradosso: più tentativi fa, più opportunità concede a chi sta dall’altra parte.
A completare il disegno, il form di phishing di Whisper 2FA invia ai criminali tutto ciò che l’utente digita, indipendentemente dal pulsante su cui clicchi. I dati catturati vengono immediatamente manipolati e crittografati, così da confondere chi monitora la rete e attenuare i segnali che potrebbero allertare i sistemi di controllo. È un raggiro studiato per sembrare routine: ogni interazione pare normale, ma ogni input diventa un tassello utile per sfondare le difese dell’account bersaglio.
Tecniche di elusione
Per ostacolare l’analisi, gli sviluppatori di Whisper 2FA hanno stratificato più livelli di offuscamento: dalla codifica alla crittografia del codice d’attacco, fino a vere e proprie trappole pensate per ingannare gli strumenti di analisi automatica. Il kit arriva a bloccare scorciatoie da tastiera comunemente usate per l’ispezione, complicando il lavoro degli analisti e riducendo l’efficacia dei controlli automatici. Il risultato è un terreno scivoloso, dove individuare comportamenti anomali richiede tempo, pazienza e strumenti capaci di andare oltre la semplice firma.
Questa sofisticazione rende più arduo distinguere ciò che è lecito da ciò che non lo è, perché i segnali vengono appannati, scomposti, resi irriconoscibili. Gli addetti alla sicurezza si trovano così a fronteggiare un codice mutevole, cucito per depistare l’attenzione nei punti cruciali del flusso. Ogni livello di offuscamento aggiunge un velo tra la realtà dell’attacco e la sua percezione, prolungando la finestra di opportunità a disposizione degli aggressori e ritardando la risposta difensiva.
Dalle prime varianti ai nuovi stratagemmi anti-analisi e convalida in tempo reale
Secondo l’analisi di Barracuda, le prime iterazioni di Whisper 2FA mostravano commenti degli sviluppatori nel codice, un offuscamento più leggero e tattiche anti-analisi limitate soprattutto alla disabilitazione del menu contestuale del browser (il tasto destro), tipicamente usato per l’ispezione. Erano già presenti accortezze per frenare chi indaga, ma con un perimetro più ridotto e meno aggressivo rispetto a ciò che è emerso in seguito.
Le versioni più recenti, invece, hanno eliminato i commenti, aumentato densità e stratificazione dell’offuscamento e introdotto contromisure nuove: rilevamento e blocco di strumenti di debugging, disattivazione delle scorciatoie degli sviluppatori e manomissione dei tool di ispezione. In più, è stata aggiunta la convalida in tempo reale dei token di autenticazione tramite il sistema di comando e controllo. L’indagine mette anche in luce somiglianze con Salty 2FA segnalato da AnyRun, e differenze rispetto a EvilProxy, tra cui un meccanismo di furto credenziali più snello e ancora più difficile da intercettare.
Le contromisure
Per Saravanan Mohankumar, che guida il team di Threat Analysis in Barracuda, Whisper 2FA testimonia la trasformazione dei kit di phishing: da semplici esfiltratori di password a piattaforme di attacco complesse. L’insieme di intercettazione in tempo reale dell’MFA, livelli multipli di offuscamento e tecniche anti-analisi alza l’asticella per utenti e team di sicurezza. Non basta più contare su barriere statiche: serve una postura dinamica, capace di leggere i segnali deboli e reagire mentre l’attacco è in corso.
Nell’ottica di resistere a minacce come Whisper 2FA, Barracuda indica una strategia multilivello: formazione mirata degli utenti, adozione di MFA resistente al phishing, monitoraggio continuo e condivisione strutturata delle informazioni sulle minacce. Questi pilastri, integrati in processi e strumenti coerenti, riducono la superficie d’attacco e accorciano i tempi di risposta. È un investimento culturale prima ancora che tecnologico, perché richiede consapevolezza diffusa, procedure chiare e una catena decisionale pronta a intervenire.
Tycoon e i link camuffati: cosa insegnano le nuove pratiche di offuscamento
Un report recente di Barracuda ha portato alla luce le trovate del kit Tycoon per celare link malevoli nelle email. L’obiettivo è alterare l’aspetto e la struttura degli URL per confondere i motori di rilevamento. Si va dall’inserimento di spazi invisibili ottenuti ripetendo “%20” nella barra degli indirizzi, all’uso di caratteri “Unicode” che somigliano a un punto senza esserlo, fino all’aggiunta di un indirizzo email nascosto o di un codice speciale in coda al collegamento. In certi casi, l’URL appare solo parzialmente ipertestuale o include elementi non validi, come due “https” o l’assenza di “//”, così da mascherare la destinazione reale.
Un’altra tecnica prevede l’impiego del simbolo “@”: tutto ciò che lo precede viene trattato dai browser come informazione utente e può contenere termini rassicuranti, per esempio “office365”, mentre il vero obiettivo è posizionato dopo la chiocciola. Non mancano indirizzi con simboli inusuali, come barre rovesciate o il “$”, che alterano il modo in cui gli strumenti di sicurezza leggono il percorso. Talvolta l’URL è spezzato in due: la parte iniziale è cliccabile e innocua, quella dannosa resta testo semplice e sfugge ai controlli automatici. L’inganno vive nei dettagli, dove un carattere fuori posto può cambiare il destino di un clic.
Barracuda oggi
Barracuda Networks è un attore di riferimento nella cybersecurity, con soluzioni pensate per proteggere email, dati, applicazioni e reti dalle minacce complesse. La piattaforma potenziata dall’AI BarracudaONE integra servizi innovativi, un XDR gestito e una dashboard centralizzata che aiuta a massimizzare le difese e a rafforzare la resilienza informatica. L’approccio è orientato alla semplicità operativa, per rendere le tecnologie di protezione efficaci e realmente adottabili nei diversi contesti aziendali.
Centinaia di migliaia di professionisti IT e fornitori di servizi gestiti nel mondo si affidano a Barracuda per soluzioni facili da acquistare, distribuire e utilizzare. Questo modello favorisce una sicurezza più accessibile, riducendo le complessità operative e accorciando i tempi di messa in protezione. In un panorama di minacce che non concede pause, la possibilità di unire visibilità, automazione e risposta coordinata diventa un fattore decisivo per contenere i rischi e proteggere il business.