Un adversario de código abierto en el medio (AiTM) El kit de phishing ha encontrado una serie de interesados en el mundo del cibercrimen por su capacidad para orquestar ataques a gran escala.
Microsoft Threat Intelligence está rastreando al actor de amenazas detrás del desarrollo del kit bajo su nombre emergente DEV-1101.
Un ataque de phishing AiTM generalmente involucra a un actor de amenazas que intenta robar e interceptar la contraseña y las cookies de sesión de un objetivo mediante la implementación de un servidor proxy entre el usuario y el sitio web.
Dichos ataques son más efectivos debido a su capacidad para eludir las protecciones de autenticación multifactor (MFA).
Se dice que DEV-1101, según el gigante tecnológico, es la parte detrás de varios kits de phishing que otros actores criminales pueden comprar o alquilar, lo que reduce el esfuerzo y los recursos necesarios para lanzar una campaña de phishing.
«La disponibilidad de dichos kits de phishing para que los atacantes los compren es parte de la industrialización de la economía ciberdelincuente y reduce la barrera de entrada para el ciberdelito», dijo Microsoft. dicho en un informe técnico.
La economía basada en el servicio que impulsa tales ofertas también puede resultar en un doble robo, en el que las credenciales robadas se envían tanto al proveedor de phishing como servicio como a sus clientes.
El kit de código abierto de DEV-1101 viene con funciones que permiten configurar páginas de destino de phishing que simulan Microsoft Office y Outlook, sin mencionar la administración de campañas desde dispositivos móviles e incluso el uso de comprobaciones de CAPTCHA para evadir la detección.
El servicio, desde su debut en mayo de 2022, ha experimentado varias mejoras, entre las que destaca la capacidad de administrar servidores que ejecutan el kit a través de un bot de Telegram. Actualmente tiene un precio de $300 por una tarifa de licencia mensual, con licencias VIP que cuestan $1,000.
Microsoft dijo que ha detectado numerosas campañas de phishing de alto volumen que abarcan millones de correos electrónicos de phishing por día de varios actores que aprovechan la herramienta.
Esto incluye un grupo de actividad denominado DEV-0928 que Redmond describió como uno de los «patrones más destacados de DEV-1101» y que se ha vinculado a una campaña de phishing que comprende más de un millón de correos electrónicos desde septiembre de 2022.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
La secuencia de ataque comienza con mensajes de correo electrónico con temas de documentos que contienen un enlace a un documento PDF que, cuando se hace clic, dirige al destinatario a una página de inicio de sesión que se hace pasar por el portal de inicio de sesión de Microsoft, pero no antes de instar a la víctima a completar un paso de CAPTCHA.
«Insertar una página CAPTCHA en la secuencia de phishing podría dificultar que los sistemas automatizados lleguen a la página final de phishing, mientras que un humano podría hacer clic fácilmente para pasar a la página siguiente», dijo Microsoft.
Aunque estos ataques AiTM están diseñados para eludir MFA, es crucial que las organizaciones adopten métodos de autenticación resistentes al phishing, como el uso de claves de seguridad FIDO2, para bloquear los intentos de inicio de sesión sospechosos.