Microsoft advierte sobre un aumento en las técnicas de phishing de adversario en el medio (AiTM), que se están propagando como parte del modelo de cibercrimen de phishing como servicio (PhaaS).
Además de un aumento en las plataformas PhaaS con capacidad AiTM, el gigante tecnológico señaló que los servicios de phishing existentes como PerSwaysion están incorporando capacidades AiTM.
“Este desarrollo en el ecosistema PhaaS permite a los atacantes llevar a cabo campañas de phishing de gran volumen que intentan eludir las protecciones MFA a escala”, dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones en X (anteriormente Twitter).
Los kits de phishing con capacidades AiTM funcionan de dos maneras, una de las cuales se refiere al uso de servidores proxy inversos (es decir, la página de phishing) para transmitir tráfico hacia y desde el cliente y el sitio web legítimo y capturar sigilosamente las credenciales del usuario, códigos de autenticación de dos factores, y cookies de sesión.
Un segundo método implica servidores de retransmisión sincrónicos.
“En AiTM, a través de servidores de retransmisión sincrónicos, se presenta al objetivo una copia o una imitación de una página de inicio de sesión, como los ataques de phishing tradicionales”, dijo Microsoft. “Storm-1295, el grupo de actores detrás de la plataforma Greatness PhaaS, ofrece servicios de retransmisión sincrónica a otros atacantes”.
Greatness fue documentada por primera vez por Cisco Talos en mayo de 2023 como un servicio que permite a los ciberdelincuentes atacar a los usuarios comerciales del servicio en la nube Microsoft 365 utilizando señuelos convincentes y páginas de inicio de sesión. Se dice que ha estado activo desde al menos mediados de 2022.
El objetivo final de estos ataques es desviar cookies de sesión, lo que permite a los actores de amenazas acceder a sistemas privilegiados sin necesidad de volver a autenticarse.
“Eludir MFA es el objetivo que motivó a los atacantes a desarrollar técnicas de robo de cookies de sesión AiTM”, señaló el gigante tecnológico. “A diferencia de los ataques de phishing tradicionales, los procedimientos de respuesta a incidentes para AiTM requieren revocación de cookies de sesión robadas“.