Microsoft 365 Defender Research Team en Microsoft Threat Intelligence Center (MSTIC) gedetailleerde een grootschalige phishing-campagne die gebruikmaakte van de zogenaamde tegenstander-in-the-middle (AiTM) phishing-sites. De sites zijn ingezet om wachtwoorden te verzamelen, inlogsessies kapen, en verificatieprocessen overslaan, inclusief MFA (multifactor) authenticatie.
De gestolen inloggegevens en sessiecookies werden later ingezet om toegang te krijgen tot de mailboxen van slachtoffers en om zakelijke e-mail compromittering uit te voeren (BEC) aanvallen tegen andere individuen. Volgens de dreigingsgegevens van Microsoft, de AiTM phishing-operatie probeerde meer dan 10,000 organisaties sinds de start in september 2021.
Wat is er specifiek aan AiTM-phishing??
“Bij AiTM-phishing, aanvallers zetten een proxyserver in tussen een doelgebruiker en de website die de gebruiker wil bezoeken (dat is, de site die de aanvaller wil imiteren),”Microsoft uitgelegd. Deze instelling helpt aanvallers om het wachtwoord en de sessiecookie van het potentiële slachtoffer te stelen en te onderscheppen, waardoor een voortdurende, geverifieerde sessie met de website. Benadrukt moet worden dat AiTM phishing niet gerelateerd is aan een kwetsbaarheid in multi-factor authenticatie. Omdat de techniek probeert de sessiecookie te stelen, de aanvaller wordt geauthenticeerd voor een sessie namens de gebruiker, ongeacht de aanmeldingsmethode.
“Op basis van onze analyse, deze campagne-iteraties gebruiken de Evilginx2 phishing-kit als hun AiTM-infrastructuur. We hebben ook overeenkomsten ontdekt in hun activiteiten na de inbreuk, inclusief opsomming van gevoelige gegevens in de mailbox van het doelwit en betalingsfraude,"Microsoft" toegevoegd.
In termen van hoe de eerste toegang werd verkregen, e-mails over vermeende spraakberichten met HTML-bestandsbijlagen werden verzonden naar ontvangers in meerdere organisaties. Eenmaal geopend, het bestand laadde in de browser van de gebruiker om een pagina weer te geven die het slachtoffer informeerde dat het spraakbericht werd gedownload.
Eerder dit jaar, beveiligingsonderzoekers hebben een nieuwe phishing-aanval beschreven, genaamd browser-in-de-browser (BitB). De aanval kan worden gebruikt om een browservenster in de browser te simuleren om een legitiem domein te vervalsen, waardoor de geloofwaardigheid van de phishing-poging wordt vergroot.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: