Microsoft ha identificato una campagna di phishing su larga scala che utilizzava siti di phishing AiTM (adversary-in-the-middle) che ha rubato le password, ha dirottato la sessione di accesso di un utente e ha dirottato il processo di autenticazione anche quando l’utente ha abilitato l’autenticazione a più fattori (MFA).
Nel phishing AiTM, gli aggressori configurano un server proxy tra un target e il sito Web che l’utente intende visitare, ovvero il sito che l’attaccante desidera impersonare. Questa configurazione consente all’attaccante di rubare e intercettare la password della vittima e il cookie di sessione e di accedere alla sessione in corso e autenticata con il sito web.
Gli esperti di Microsoft sottolineano che questa non è una vulnerabilità in MFA poiché il phishing AiTM ruba il cookie di sessione e l’attaccante viene autenticato a una sessione per conto dell’utente, indipendentemente dal metodo di accesso utilizzato da quest’ultimo.
In questa campagna gli aggressori hanno utilizzato le credenziali rubate e i cookie di sessione per accedere alle mailboxes degli utenti ed eseguire campagne BEC (Business Email Compromise) successive contro altri obiettivi. Secondo i dati di Microsoft, questa campagna di phishing AiTM ha tentato di prendere di mira più di 10.000 organizzazioni da settembre 2021.
Le pagine di destinazione sembrano essere collegate tra loro e mirano agli utenti di Office 365 falsificando la pagina di autenticazione online di Office utilizzando il kit di phishing Evilginx2 come infrastruttura AiTM.
In alcuni degli attacchi osservati, l’attaccante ha inviato e-mail di phishing con un file HTML allegato a più destinatari in diverse organizzazioni. Il messaggio di posta elettronica informava i destinatari che avevano un messaggio vocale. Una volta aperto, il file HTML allegato è stato caricato nel browser dell’utente e ha visualizzato una pagina che informava che il messaggio vocale era in fase di download.
Questo redirector fungeva da gatekeeper per assicurare che l’utente target provenisse dall’allegato HTML originale. Per fare ciò, ha prima verificato se il valore del frammento previsto nell’URL (l’indirizzo e-mail dell’utente codificato in Base64) esistesse. Se tale valore esisteva, questa pagina concatenava il valore sulla landing page del sito di phishing, anch’essa codificata in Base64 e salvata nella variabile “link”. Combinando i due valori, la successiva pagina di destinazione del phishing riempiva automaticamente la pagina di accesso con l’indirizzo e-mail dell’utente, aumentando così il suo richiamo di social engineering. Questa tecnica mirava anche a impedire alle soluzioni anti-phishing di accedere direttamente agli URL di phishing.
In altri casi, gli esperti di Microsoft hanno osservato che la pagina di reindirizzamento utilizzava un altro formato URL in cui il nome utente del target è stato utilizzato come parte di una tecnica di sottodomini infiniti. Dopo il reindirizzamento, l’utente è arrivato su un sito di phishing Evilginx2 con il proprio nome utente come valore di frammento. Il sito di phishing ha inviato un proxy alla pagina di accesso di Azure Active Directory (Azure AD) dell’organizzazione (solitamente login.microsoftonline.com). Nel caso in cui l’organizzazione aveva configurato Azure AD per includere il proprio marchio, anche la pagina di destinazione del sito di phishing conteneva gli stessi elementi di marchio.
Una volta che la vittima ha inserito le proprie credenziali e si è autenticato, è stato reindirizzato alla pagina legittima di office.com. Tuttavia, in background, l’attaccante ha intercettato le credenziali e si è autenticato per conto dell’utente, riuscendo quindi a eseguire attività successive (in questo caso frode di pagamento) dall’interno dell’organizzazione.
“Abbiamo scoperto che ci volevano solo cinque minuti dopo il furto di credenziali e sessione prima che un utente malintenzionato lanciasse la sua frode di pagamento successiva. Dalla nostra osservazione, dopo che un account compromesso ha effettuato l’accesso al sito di phishing per la prima volta, l’attaccante ha utilizzato il cookie di sessione rubato per autenticarsi su Outlook online (outlook.office.com). In più casi, i cookie presentavano un’attestazione MFA, il che significa che, anche se l’organizzazione disponeva di una policy MFA, l’autore dell’attacco ha utilizzato il cookie di sessione per ottenere l’accesso per conto dell’account compromesso”, si legge nell’analisi di Microsoft.
“Questa campagna di phishing AiTM è un altro esempio di come le minacce continuano a evolversi in risposta alle misure di sicurezza e alle policies che le organizzazioni mettono in atto per difendersi da potenziali attacchi. E poiché il phishing delle credenziali è stato sfruttato in molti degli attacchi più dannosi dell’anno scorso, ci aspettiamo che tentativi simili crescano in scala e sofisticatezza. Sebbene il phishing AiTM tenti di aggirare l’autenticazione a più fattori, è importante sottolineare che l’implementazione dell’autenticazione a più fattori rimane un pilastro essenziale della sicurezza dell’identità. L’MFA è ancora molto efficace nel fermare un’ampia varietà di minacce; la sua efficacia è il motivo per cui il phishing AiTM è emerso in primo luogo”.
