Microsoft met en garde contre une augmentation des techniques de phishing de type adversaire au milieu (AiTM), qui se propagent dans le cadre du modèle de cybercriminalité phishing-as-a-service (PhaaS).
En plus d’une légère augmentation des plates-formes PhaaS compatibles AiTM, le géant de la technologie a noté que les services de phishing existants comme PerSwaysion intègrent des capacités AiTM.
“Ce développement dans l’écosystème PhaaS permet aux attaquants de mener des campagnes de phishing à grand volume qui tentent de contourner les protections MFA à grande échelle”, a déclaré l’équipe Microsoft Threat Intelligence. dit dans une série de messages sur X (anciennement Twitter).
Les kits de phishing dotés des capacités AiTM fonctionnent de deux manières, l’une d’elles concerne l’utilisation de serveurs proxy inverses (c’est-à-dire la page de phishing) pour relayer le trafic vers et depuis le client et le site Web légitime et capturer furtivement les informations d’identification de l’utilisateur, les codes d’authentification à deux facteurs, et les cookies de session.
Une deuxième méthode implique des serveurs relais synchrones.
“Dans AiTM, via des serveurs relais synchrones, la cible se voit présenter une copie ou une copie d’une page de connexion, comme les attaques de phishing traditionnelles”, a déclaré Microsoft. “Storm-1295, le groupe d’acteurs derrière la plateforme Greatness PhaaS, propose des services de relais synchrones à d’autres attaquants.”
Greatness a été documenté pour la première fois par Cisco Talos en mai 2023 comme un service permettant aux cybercriminels de cibler les utilisateurs professionnels du service cloud Microsoft 365 à l’aide de leurres convaincants et de pages de connexion. Il serait actif depuis au moins mi-2022.
Le but ultime de ces attaques est de siphonner les cookies de session, permettant ainsi aux acteurs malveillants d’accéder à des systèmes privilégiés sans réauthentification.
“Contourner la MFA est l’objectif qui a motivé les attaquants à développer des techniques de vol de cookies de session AiTM”, a noté le géant de la technologie. “Contrairement aux attaques de phishing traditionnelles, les procédures de réponse aux incidents pour AiTM nécessitent révocation des cookies de session volés“.