Microsoft 365 Équipe de recherche Defender et Microsoft Threat Intelligence Center (MSTIC) a détaillé une campagne de phishing à grande échelle qui a utilisé le soi-disant adversaire au milieu (AiMC) sites de phishing. Les sites ont été déployés pour récolter les mots de passe, pirater les sessions de connexion, et ignorer les processus d'authentification, y compris AMF (multifactoriel) authentification.
Les informations d'identification volées et les cookies de session ont ensuite été déployés pour accéder aux boîtes aux lettres des victimes et compromettre les e-mails professionnels. (BEC) attaques contre d'autres individus. Selon les données sur les menaces de Microsoft, l'opération de phishing AiTM a tenté de compromettre plus de 10,000 organisations depuis son lancement en septembre 2021.
Qu'est-ce qui est spécifique au hameçonnage AiTM?
"Dans l'hameçonnage AiTM, les attaquants déploient un serveur proxy entre un utilisateur cible et le site Web que l'utilisateur souhaite visiter (à savoir, le site que l'attaquant souhaite usurper),» Microsoft a expliqué. Cette configuration aide les attaquants à voler et à intercepter le mot de passe et le cookie de session de la victime potentielle, obtenant ainsi une, session authentifiée avec le site Web. Il convient de souligner que le phishing AiTM n'est pas lié à une vulnérabilité dans l'authentification multifacteur. Étant donné que la technique tente de voler le cookie de session, l'attaquant est authentifié à une session au nom de l'utilisateur, quelle que soit la méthode de connexion.
"Sur la base de notre analyse, ces itérations de campagne utilisent le kit de phishing Evilginx2 comme infrastructure AiTM. Nous avons également découvert des similitudes dans leurs activités post-infraction, incluant l'énumération des données sensibles dans la boîte aux lettres de la cible et les fraudes au paiement," Microsoft ajoutée.
En ce qui concerne la façon dont l'accès initial a été obtenu, des e-mails concernant des messages vocaux supposés contenant des pièces jointes HTML ont été envoyés à des destinataires dans plusieurs organisations. Une fois ouvert, le fichier se chargeait dans le navigateur de l'utilisateur pour afficher une page informant la victime que le message vocal était en cours de téléchargement.
Plus tôt cette année, les chercheurs en sécurité ont détaillé une nouvelle attaque de phishing appelée navigateur dans le navigateur (BitB). L'attaque pourrait être exploitée pour simuler une fenêtre de navigateur dans le navigateur afin d'usurper un domaine légitime, augmentant ainsi la crédibilité de la tentative de phishing.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: