Microsoft 365 Equipo de investigación de Defender y Centro de inteligencia de amenazas de Microsoft (MSTIC) detalló una campaña de phishing a gran escala que utilizó el llamado adversario en el medio (AiTM) sitios de phishing. Los sitios se implementaron para recolectar contraseñas., secuestrar sesiones de inicio de sesión, y omitir procesos de autenticación, incluyendo MFA (multifactor) autenticación.
Las credenciales robadas y las cookies de sesión se implementaron más tarde para acceder a los buzones de correo de las víctimas y comprometer el correo electrónico comercial. (BEC) ataques contra otros individuos. Según los datos de amenazas de Microsoft, la operación de phishing AiTM intentó comprometer más de 10,000 organizaciones desde que se inició en septiembre 2021.
Qué es específico sobre el phishing AiTM?
“En el phishing AiTM, los atacantes implementan un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar (es decir, el sitio que el atacante desea suplantar),”Explicó Microsoft. Esta configuración ayuda a los atacantes a robar e interceptar la contraseña y la cookie de sesión de la víctima potencial, obteniendo así una, sesión autenticada con el sitio web. Cabe subrayar que el phishing AiTM no está relacionado con una vulnerabilidad en la autenticación multifactor. Dado que la técnica intenta robar la cookie de sesión, el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión.
“Según nuestro análisis, estas iteraciones de campaña usan el kit de phishing Evilginx2 como su infraestructura AiTM. También descubrimos similitudes en sus actividades posteriores a la infracción., incluida la enumeración de datos confidenciales en el buzón del objetivo y los fraudes de pago,"Microsoft adicional.
En términos de cómo se obtuvo el acceso inicial, se enviaron correos electrónicos sobre supuestos mensajes de voz que contenían archivos adjuntos HTML a destinatarios en varias organizaciones. Una vez abierto, el archivo se cargaría en el navegador del usuario para mostrar una página informando a la víctima que el mensaje de voz se estaba descargando.
A principios de este año, investigadores de seguridad detallaron un nuevo ataque de phishing llamado navegador-en-el-navegador (BitB). El ataque podría aprovecharse para simular una ventana del navegador dentro del navegador para falsificar un dominio legítimo., aumentando así la credibilidad del intento de phishing.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: