Microsoft ha lanciato un avvertimento riguardo l’aumento delle tecniche di phishing “adversary-in-the-middle” (AiTM), che stanno emergendo come parte del modello di cybercriminalità del Phishing-as-a-Service (PhaaS).
Aumento delle piattaforme PhaaS con capacità AiTM
Oltre a un aumento delle piattaforme PhaaS capaci di AiTM, Microsoft ha osservato che servizi di phishing esistenti, come PerSwaysion, stanno incorporando capacità AiTM. “Questo sviluppo nell’ecosistema PhaaS permette agli aggressori di condurre campagne di phishing ad alto volume che tentano di eludere le protezioni MFA su larga scala”, ha dichiarato il team di Microsoft Threat Intelligence in una serie di post su X (precedentemente noto come Twitter).
Come funzionano i kit di phishing con capacità AiTM
I kit di phishing dotati di capacità AiTM operano in due modi. Il primo riguarda l’uso di server proxy inversi (ovvero la pagina di phishing) per inoltrare il traffico tra il client e il sito web legittimo, catturando in modo furtivo le credenziali dell’utente, i codici di autenticazione a due fattori e i cookie di sessione. Il secondo metodo coinvolge server di relay sincroni. “Con AiTM attraverso server di relay sincroni, l’obiettivo viene presentato con una copia o un’imitazione di una pagina di accesso, simile agli attacchi di phishing tradizionali”, ha affermato Microsoft. “Storm-1295, il gruppo di attori dietro la piattaforma PhaaS di Greatness, offre servizi di relay sincroni ad altri aggressori.”
Il gruppo dietro la piattaforma PhaaS di Greatness
Greatness è stata documentata per la prima volta da Cisco Talos nel maggio 2023 come un servizio che permette ai cybercriminali di prendere di mira gli utenti aziendali del servizio cloud Microsoft 365 utilizzando pagine di decoy e di accesso convincenti. Si ritiene che sia attiva almeno dal 2022. L’obiettivo finale di tali attacchi è di sifonare i cookie di sessione, permettendo agli attori minacciosi di accedere ai sistemi privilegiati senza una nuova autenticazione.
L’obiettivo di eludere l’MFA
“Eludere l’MFA è l’obiettivo che ha spinto gli aggressori a sviluppare tecniche di furto di cookie di sessione AiTM”, ha sottolineato Microsoft. A differenza degli attacchi di phishing tradizionali, le procedure di risposta agli incidenti per AiTM richiedono la revoca dei cookie di sessione rubati.