Microsoft 365 Defender Research Team e Microsoft Threat Intelligence Center (MTIC) ha descritto in dettaglio una campagna di phishing su larga scala che utilizzava il cosiddetto avversario nel mezzo (AiTM) siti di phishing. I siti sono stati distribuiti per raccogliere le password, dirottare le sessioni di accesso, e salta i processi di autenticazione, compreso il MAE (multifattoriale) autenticazione.
Le credenziali rubate e i cookie di sessione sono stati successivamente distribuiti per accedere alle cassette postali delle vittime ed eseguire compromissioni e-mail aziendali (BEC) attacchi contro altri individui. Secondo i dati sulle minacce di Microsoft, l'operazione di phishing AiTM ha tentato di compromettere più di 10,000 organizzazioni da quando è stato avviato a settembre 2021.
Che cosa è specifico del phishing AiTM?
“Nel phishing AiTM, gli aggressori implementano un server proxy tra un utente di destinazione e il sito Web che l'utente desidera visitare (cioè, il sito che l'attaccante desidera impersonare),”, Ha spiegato Microsoft. Questa configurazione aiuta gli aggressori a rubare e intercettare la password della potenziale vittima e il cookie di sessione ottenendo così un continuo, sessione autenticata con il sito web. Va sottolineato che il phishing AiTM non è correlato a una vulnerabilità nell'autenticazione a più fattori. Poiché la tecnica tenta di rubare il cookie di sessione, l'attaccante viene autenticato in una sessione per conto dell'utente, indipendentemente dal metodo di accesso.
«In base alla nostra analisi, queste iterazioni della campagna utilizzano il kit di phishing Evilginx2 come infrastruttura AiTM. Abbiamo anche scoperto somiglianze nelle loro attività post-violazione, inclusa l'enumerazione dei dati sensibili nella casella di posta del target e le frodi di pagamento,"Microsoft aggiunto.
In termini di come è stato ottenuto l'accesso iniziale, e-mail su presunti messaggi vocali contenenti allegati di file HTML sono state inviate a destinatari in più organizzazioni. Una volta aperto, il file verrà caricato nel browser dell'utente per visualizzare una pagina che informa la vittima che il messaggio vocale è stato scaricato.
All'inizio di quest'anno, i ricercatori di sicurezza hanno descritto in dettaglio un nuovo attacco di phishing chiamato browser nel browser (BitB). L'attacco potrebbe essere sfruttato per simulare una finestra del browser all'interno del browser per falsificare un dominio legittimo, aumentando così la credibilità del tentativo di phishing.