Microsoft met en garde contre une augmentation des techniques de phishing de type adversaire au milieu (AiTM), qui se propagent dans le cadre du modèle de cybercriminalité phishing-as-a-service (PhaaS).
En plus d’une légère augmentation des plates-formes PhaaS compatibles AiTM, le géant de la technologie a noté que les services de phishing existants comme PerSwaysion intègrent des capacités AiTM.
« Ce développement dans l’écosystème PhaaS permet aux attaquants de mener des campagnes de phishing à grand volume qui tentent de contourner les protections MFA à grande échelle », a déclaré l’équipe Microsoft Threat Intelligence. dit dans une série de messages sur X (anciennement Twitter).
Les kits de phishing dotés des capacités AiTM fonctionnent de deux manières, l’une d’elles concerne l’utilisation de serveurs proxy inverses (c’est-à-dire la page de phishing) pour relayer le trafic vers et depuis le client et le site Web légitime et capturer furtivement les informations d’identification de l’utilisateur, les codes d’authentification à deux facteurs, et les cookies de session.
Une deuxième méthode implique des serveurs relais synchrones.
« Dans AiTM, via des serveurs relais synchrones, la cible se voit présenter une copie ou une copie d’une page de connexion, comme les attaques de phishing traditionnelles », a déclaré Microsoft. « Storm-1295, le groupe d’acteurs derrière la plateforme Greatness PhaaS, propose des services de relais synchrones à d’autres attaquants. »
Greatness a été documenté pour la première fois par Cisco Talos en mai 2023 comme un service permettant aux cybercriminels de cibler les utilisateurs professionnels du service cloud Microsoft 365 à l’aide de leurres convaincants et de pages de connexion. Il serait actif depuis au moins mi-2022.
Le but ultime de ces attaques est de siphonner les cookies de session, permettant ainsi aux acteurs malveillants d’accéder à des systèmes privilégiés sans réauthentification.
« Contourner la MFA est l’objectif qui a motivé les attaquants à développer des techniques de vol de cookies de session AiTM », a noté le géant de la technologie. « Contrairement aux attaques de phishing traditionnelles, les procédures de réponse aux incidents pour AiTM nécessitent révocation des cookies de session volés« .