Microsoft advierte sobre un aumento de las técnicas de phishing Adversary-in-the-Middle (AiTM), que se utilizan como parte del modelo de cibercrimen Phishing-as-a-Service (PhaaS). Este avance dentro del ecosistema PhaaS permite a los atacantes llevar a cabo extensas campañas de phishing dirigidas a c a gran escala, afirmaron investigadores de Microsoft en una serie de publicaciones en X (antes Twitter).
Profundizando Microsoft en los detalles
Los kits de phishing que incorporan capacidades AiTM funcionan utilizando dos enfoques.
- El primero implica la utilización de servidores proxy inversos, donde la página de phishing actúa como intermediario entre el dispositivo del usuario y el sitio web legítimo.
- Este proceso captura los detalles de inicio de sesión del usuario, los códigos 2FA y las cookies de sesión sin detección.
- El segundo método emplea servidores de retransmisión síncronos. Aquí, el objetivo encuentra una réplica de una página de inicio de sesión, similar a los ataques de phishing comunes.
Por qué esto importa
- El objetivo principal de estos ataques es robar cookies de sesión, lo que permite a actores malintencionados acceder a sistemas privilegiados sin necesidad de autenticarse nuevamente.
- La intención detrás del desarrollo de técnicas de robo de cookies de sesión de AiTM es evitar MFA.
- A diferencia de los ataques de phishing convencionales, abordar los incidentes de AiTM requiere la revocación de las cookies de sesión robadas.
Ataques de phishing AiTM por parte de diferentes grupos
En junio, Microsoft advirtió contra una campaña de phishing y ataques BEC dirigida a organizaciones bancarias y financieras, explotando las relaciones de proveedores confiables para lanzar fraudes financieros. Los atacantes utilizaron un kit de phishing AiTM desarrollado por un grupo de amenazas llamado Storm-1167, enviaron más de 16.000 correos electrónicos a contactos objetivo y agregaron un nuevo método 2FA basado en SMS para evitar la detección.
Mientras tanto, el grupo de actores conocido como Storm-1295, responsable del desarrollo de la plataforma Greatness PhaaS , proporciona servicios de retransmisión sincrónica a otros atacantes. Este servicio permite a los ciberdelincuentes atacar de manera efectiva a los usuarios comerciales del servicio en la nube de Microsoft 365 utilizando páginas de inicio de sesión y señuelos de apariencia auténtica. Según se informa, Greatness ha estado operativo desde al menos mediados de 2022.
Conclusión
La reciente advertencia de Microsoft arroja luz sobre la creciente amenaza que representan las técnicas de phishing AiTM dentro del ecosistema PhaaS. Estos avances han permitido a los atacantes organizar extensas campañas de phishing a una escala significativa, eludiendo las salvaguardas de MFA. A medida que la sofisticación de los ciberdelincuentes continúa creciendo, las organizaciones deben implementar medidas integrales de ciberseguridad para combatir estas amenazas en evolución.
En un phishing AiTM, un atacante intenta obtener la cookie de sesión de un usuario para poder saltarse todo el proceso de autenticación y actuar en su nombre. Para ello, el atacante despliega un servidor web que proxy los paquetes HTTP desde el usuario que visita el sitio de phishing hasta el servidor objetivo que el atacante desea suplantar y viceversa. De esta forma, el sitio de phishing es visualmente idéntico al sitio web original (ya que todos los HTTP se proxyan hacia y desde el sitio web original).
Se trata de un tipo de phishing sobre el cual Microsoft dio la voz de alerta el año pasado. A través de esta técnica, los atacantes son capaces de robar contraseñas o información de inicio de sesión para luego acceder a los correos electrónicos de las víctimas y llevar a cabo otros ciberataques, como el BEC (Business Email Compromise), suplantando la identidad de la víctima.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.