I ricercatori Microsoft hanno scoperto una crescente tendenza nell’uso dei kit di phishing per lanciare campagne di attacchi Adversary-in-the-Middle (AiTM).
Uno di questi kit viene offerto da un attore di minacce denominato DEV-1101, che ha consentito a vari criminali informatici di lanciare diverse campagne di phishing ad alto volume.
Indice degli argomenti
Come funziona il kit di phishing
DEV-1101, questo è il nome dell’attore malevolo dietro allo sviluppo e diffusione del recente tool, ha iniziato a pubblicizzare il suo kit di phishing AiTM nel maggio 2022 attraverso un canale Telegram e un forum sulla criminalità informatica chiamato exploit[.]in.
Il kit è scritto in NodeJS, viene fornito con funzionalità di reverse proxy PHP, configurazione automatizzata e tecniche anti-rilevamento. Include una vasta gamma di pagine di phishing già pronte che imitano servizi come Microsoft Office e Outlook.
Nel giugno 2022, l’hacker ha apportato diversi miglioramenti al kit con un canone di licenza mensile di 100 dollari. A settembre 2022 circa, DEV-1101 ha aggiunto una nuova capacità di gestire i server nel kit tramite un bot di Telegram, grazie al quale lo strumento è diventato molto popolare tra gli aggressori.
Secondo il team di Microsoft Threat Intelligence, questo kit di phishing è uno strumento open source sviluppato da un gruppo di hacker chiamato DEV-1101. A fine dell’anno scorso, i criminali informatici hanno continuato a vendere il kit di phishing Adversary-in-the-Middle (AiTM) per 300 dollari per una versione standard e licenze VIP per 1.000 dollari.
Metodo di attacco
DEV-0928, uno dei principali sostenitori di DEV-1101, ha utilizzato il kit per lanciare una campagna di phishing che ha coinvolto oltre un milione di e-mail.
L’attacco è iniziato con un’e-mail di phishing che invitava gli utenti a fare clic sul file pdf. Facendo clic sul file pdf, gli utenti venivano reindirizzati a pagine di phishing che imitavano la pagina di accesso di Microsoft. Il kit inserisce abilmente una pagina CAPTCHA nella sequenza di phishing e che gli hacker aggirano attraverso l’interazione uomo-macchina.
Tra le funzionalità offerte dal kit, in particolare offre agli attori delle minacce la possibilità di aggirare l’autenticazione a più fattori (MFA). La funzione di sicurezza che richiede agli utenti di fornire una o più forme di autenticazione per accedere ad uno stesso servizio e che normalmente rende gli attacchi malevoli, decisamente più complicati da portare a termine.
Gli attacchi AiTM in passato
Una campagna BEC lanciata nell’agosto 2022 ha utilizzato attacchi AiTM per hackerare account Microsoft 365 appartenenti a dirigenti aziendali. Gli aggressori hanno sfruttato il framework di phishing proxy “evilginx2” per eseguire l’attacco AiTM.
In un altro caso, diversi domini appena registrati sono stati utilizzati come parte della campagna AiTM rivolta agli utenti aziendali dei servizi di posta elettronica Microsoft.
“La disponibilità di tali kit di phishing per l’acquisto da parte degli aggressori fa parte dell’industrializzazione dell’economia del crimine informatico e abbassa la barriera di ingresso per il crimine informatico”, ha affermato Microsoft.
Poiché gli attacchi di phishing AiTM tentano di eludere l’MFA, si consiglia alle organizzazioni di implementare ulteriori livelli multipli di sicurezza per una protezione solida. Il monitoraggio continuo dei sistemi per attività sospette aiuta anche a eliminare l’attacco nella fase iniziale.
