Microsoft 365 Equipe de Pesquisa do Defender e Microsoft Threat Intelligence Center (MSTIC) detalhou uma campanha de phishing em grande escala que utilizou o chamado adversário no meio (AiTM) sites de phishing. Os sites foram implantados para coletar senhas, sequestrar sessões de login, e pule os processos de autenticação, incluindo MFA (multifator) autenticação.
As credenciais roubadas e os cookies de sessão foram posteriormente implantados para acessar as caixas de correio das vítimas e comprometer o e-mail comercial (BEC) ataques contra outros indivíduos. De acordo com os dados de ameaças da Microsoft, a operação de phishing AiTM tentou comprometer mais de 10,000 organizações desde que foi iniciado em setembro 2021.
O que é específico sobre o Phishing AiTM?
“No phishing AiTM, os invasores implantam um servidor proxy entre um usuário-alvo e o site que o usuário deseja visitar (isso é, o site que o invasor deseja representar),”Microsoft explicou. Essa configuração ajuda os invasores a roubar e interceptar a senha e o cookie de sessão da vítima em potencial, obtendo assim uma, sessão autenticada com o site. Deve-se sublinhar que o phishing AiTM não está relacionado a uma vulnerabilidade na autenticação multifator. Como a técnica tenta roubar o cookie de sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login.
“Com base em nossa análise, essas iterações de campanha usam o kit de phishing Evilginx2 como sua infraestrutura AiTM. Também descobrimos semelhanças em suas atividades pós-violação, incluindo enumeração de dados confidenciais na caixa de correio do alvo e fraudes de pagamento,”Microsoft adicionado.
Em termos de como o acesso inicial foi obtido, e-mails sobre supostas mensagens de voz contendo anexos de arquivos HTML foram enviados para destinatários em várias organizações. Uma vez aberto, o arquivo seria carregado no navegador do usuário para exibir uma página informando à vítima que a mensagem de voz estava sendo baixada.
No início deste ano, pesquisadores de segurança detalharam um novo ataque de phishing chamado navegador no navegador (Bit B). O ataque pode ser aproveitado para simular uma janela do navegador dentro do navegador para falsificar um domínio legítimo, aumentando assim a credibilidade da tentativa de phishing.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: