Aumento en las técnicas de phishing de adversary-in-the-middle (AiTM)
Microsoft advierte de un aumento en las técnicas de phishing de adversary-in-the-middle (AiTM), que se están propagando como parte del modelo de cibercrimen de phishing como servicio (PhaaS).
Además de un aumento en las plataformas PhaaS con capacidad AiTM, el gigante tecnológico señaló que los servicios de phishing existentes como PerSwaysion están incorporando capacidades AiTM.
“Este desarrollo en el ecosistema PhaaS permite a los atacantes realizar campañas de phishing de alto volumen que intentan eludir las protecciones MFA a escala”, dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones en X (anteriormente Twitter).
Los kits de phishing con capacidades AiTM funcionan de dos maneras, una de las cuales se refiere al uso de servidores proxy inversos (es decir, la página de phishing) para retransmitir tráfico hacia y desde el cliente y el sitio web legítimo y capturar sigilosamente las credenciales del usuario, los códigos de autenticación de dos factores y las cookies de sesión.
Un segundo método implica servidores de retransmisión sincrónicos.
“En AiTM a través de servidores de retransmisión sincrónicos, al objetivo se le presenta una copia o imitación de una página de inicio de sesión, como los ataques de phishing tradicionales”, dijo Microsoft. “Storm-1295, el grupo de actores detrás de la plataforma Greatness PhaaS, ofrece servicios de retransmisión sincrónicos a otros atacantes”.
Greatness fue documentado por primera vez por Cisco Talos en mayo de 2023 como un servicio que permite a los ciberdelincuentes dirigirse a los usuarios empresariales del servicio en la nube Microsoft 365 utilizando señuelos convincentes y páginas de inicio de sesión. Se dice que ha estado activo desde al menos mediados de 2022.
El objetivo final de tales ataques es desviar las cookies de sesión, lo que permite a los actores de amenazas acceder a sistemas privilegiados sin necesidad de volver a autenticarse.
“Eludir MFA es el objetivo que motivó a los atacantes a desarrollar técnicas de robo de cookies de sesión AiTM”, señaló el gigante tecnológico. “A diferencia de los ataques de phishing tradicionales, los procedimientos de respuesta a incidentes para AiTM requieren la revocación de las cookies de sesión robadas“.
