Microsoft 365 Defender Research Team og Microsoft Threat Intelligence Center (MSTIC) detaljerede en storstilet phishing-kampagne, der brugte den såkaldte modstander-i-midten (AiTM) phishing-websteder. Webstederne blev indsat for at høste adgangskoder, kapre login-sessioner, og spring godkendelsesprocesser over, herunder MFA (multi-faktor) Godkendelse.
De stjålne legitimationsoplysninger og sessionscookies blev senere installeret for at få adgang til ofrenes postkasser og udføre kompromittering af forretnings-e-mail (BEC) angreb mod andre personer. Ifølge Microsofts trusselsdata, AiTM phishing-operationen forsøgte at kompromittere mere end 10,000 organisationer siden den blev indledt i september 2021.
Hvad er specifikt ved AiTM Phishing?
"I AiTM phishing, angribere installerer en proxyserver mellem en målbruger og det websted, brugeren ønsker at besøge (dvs., det websted, angriberen ønsker at efterligne),”Microsoft forklarede. Denne opsætning hjælper angribere med at stjæle og opsnappe det potentielle offers adgangskode og sessionscookie og dermed opnå en løbende, autentificeret session med hjemmesiden. Det skal understreges, at AiTM-phishing ikke er relateret til en sårbarhed i multifaktorautentificering. Da teknikken forsøger at stjæle session-cookien, angriberen er godkendt til en session på brugerens vegne, uanset login-metoden.
"Baseret på vores analyse, disse kampagnegentagelser bruger Evilginx2 phishing-sættet som deres AiTM-infrastruktur. Vi afslørede også ligheder i deres aktiviteter efter brud, herunder opregning af følsomme data i målets postkasse og betalingssvindel,"Microsoft tilføjet.
Med hensyn til, hvordan den første adgang blev opnået, e-mails om formodede talebeskeder indeholdende HTML-filvedhæftede filer blev sendt til modtagere i flere organisationer. Efter åbning, filen indlæses i brugerens browser for at vise en side, der informerer offeret om, at talebeskeden blev downloadet.
Tidligere i år, sikkerhedsforskere detaljerede et nyt phishing-angreb kaldet browser-i-browseren (BitB). Angrebet kunne udnyttes til at simulere et browservindue i browseren for at forfalske et legitimt domæne, øger dermed troværdigheden af phishingforsøget.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: