Un adversaire open source au milieu (AiMC) Le kit de phishing a trouvé un certain nombre de preneurs dans le monde de la cybercriminalité pour sa capacité à orchestrer des attaques à grande échelle.
Microsoft Threat Intelligence suit l’acteur de la menace derrière le développement du kit sous son nouveau surnom DEV-1101.
Une attaque de phishing AiTM implique généralement un acteur malveillant qui tente de voler et d’intercepter le mot de passe et les cookies de session d’une cible en déployant un serveur proxy entre l’utilisateur et le site Web.
De telles attaques sont plus efficaces en raison de leur capacité à contourner les protections d’authentification multi-facteurs (MFA).
DEV-1101, selon le géant de la technologie, serait à l’origine de plusieurs kits de phishing qui peuvent être achetés ou loués par d’autres acteurs criminels, réduisant ainsi les efforts et les ressources nécessaires pour lancer une campagne de phishing.
« La disponibilité de tels kits de phishing à l’achat par des attaquants fait partie de l’industrialisation de l’économie cybercriminelle et abaisse la barrière d’entrée pour la cybercriminalité », a déclaré Microsoft. a dit dans un rapport technique.
L’économie basée sur les services qui alimente ces offres peut également entraîner un double vol, dans lequel les informations d’identification volées sont envoyées à la fois au fournisseur de phishing en tant que service et à ses clients.
Le kit open source de DEV-1101 est livré avec des fonctionnalités qui permettent de configurer des pages de destination de phishing imitant Microsoft Office et Outlook, sans oublier de gérer des campagnes à partir d’appareils mobiles et même d’utiliser des contrôles CAPTCHA pour échapper à la détection.
Le service, depuis ses débuts en mai 2022, a subi plusieurs améliorations, la principale étant la possibilité de gérer les serveurs exécutant le kit via un bot Telegram. Il a actuellement un prix de 300 $ pour des frais de licence mensuels, les licences VIP coûtant 1 000 $.
Microsoft a déclaré avoir détecté de nombreuses campagnes de phishing à haut volume couvrant des millions d’e-mails de phishing par jour provenant de divers acteurs qui exploitent l’outil.
Cela inclut un cluster d’activités baptisé DEV-0928 que Redmond a décrit comme l’un des « mécènes les plus importants de DEV-1101 » et qui a été lié à une campagne de phishing comprenant plus d’un million d’e-mails depuis septembre 2022.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
La séquence d’attaque commence par des messages électroniques sur le thème du document contenant un lien vers un document PDF qui, lorsqu’il est cliqué, dirige le destinataire vers une page de connexion qui se fait passer pour le portail de connexion de Microsoft, mais pas avant d’inciter la victime à effectuer une étape CAPTCHA.
« L’insertion d’une page CAPTCHA dans la séquence de phishing pourrait rendre plus difficile pour les systèmes automatisés d’atteindre la page de phishing finale, tandis qu’un humain pourrait facilement cliquer sur la page suivante », a déclaré Microsoft.
Bien que ces attaques AiTM soient conçues pour contourner la MFA, il est essentiel que les organisations adoptent des méthodes d’authentification résistantes au phishing, telles que l’utilisation de clés de sécurité FIDO2, pour bloquer les tentatives de connexion suspectes.