I ricercatori di Microsoft Security hanno scoperto una campagna che utilizza la tecnica adversary-in-the-middle (AitM) per mettere in atto attacchi di phishing più efficaci.
Dall’analisi dei tentativi di frode, i ricercatori hanno osservato che i messaggi malevoli indirizzavano le vittime a siti AitM che avrebbero rubato password e dirottato le sessioni di accesso, bypassando la procedura di autenticazione anche dove era stata abilitata quella a più fattori.
Indice degli argomenti
Un attacco di phishing sempre più elaborato
In particolare, utilizzando siti Web di phishing AitM (adversary-in-the-middle), i malintenzionati sono in grado di aggirare la funzione di autenticazione a più fattori (MFA) utilizzata dagli utenti di Office365 creando una pagina di autenticazione (2FA) di Office365 fasulla.
Si è anche confermato che le pagine del sito di phishing sono il risultato del kit di sviluppo Evilginx2, framework apposito per questo tipo di attacchi, con furto di sessioni autenticate.
In questo processo, gli aggressori mirano a ottenere il cookie di sessione della vittima tramite l’implementazione di un server proxy tra la vittima e il sito Web oggetto di spoofing. In sostanza, gli aggressori stanno intercettando le sessioni di accesso di Office365 per rubarne le informazioni.
Una volta ottenuto questo cookie di sessione, già autenticato dal corretto codice dell’eventuale multi-fattore, gli attaccanti non devono far altro che implementare tale cookie nel proprio browser e ottenere l’accesso all’account Office 365 preso di mira.
Questo accesso consente ai malintenzionati di prendere il controllo della casella di posta elettronica aziendale di figure apicali e di alto livello, al fine di far proseguire la frode (denominata appunto BEC), predisponendo messaggi rivolti ai dipendenti, nei quali si cerca di convincerli a compiere azioni che, se portate a termine, possono creare danni (economici) all’organizzazione.
Dai dati rilevati nella ricerca, Microsoft fa iniziare il monitoraggio di questa campagna a settembre 2021 e sembra che la diffusione sia in aumento con già 10.000 aziende colpite da questo phishing che, lo ricordiamo, inizia sempre con una e-mail malevola.
Autenticazione multi fattore compromessa?
In sintesi: no. Questa particolare tipologia di attacco è parte di una campagna definita sofisticata. L’esigenza per gli attaccanti nasce proprio dalla diffusione sempre più massiccia dell’autenticazione multi fattore a livello aziendale.
Questo è un dettaglio positivo, perché la doppia (o multipla) autenticazione scongiura una più ampia fetta di altri attacchi e il fatto che questa particolare tecnica riesca a bypassare questa doppia verifica, non deve farci riflettere in senso contrario, abbandonando l’utilizzo di 2FA (o MFA).
Questo processo è invece utile e sempre necessario su larga scala, in questo caso è invece utile, come anche Microsoft suggerisce, avviare sessioni di formazione specifica per il personale, al fine di identificare tentativi di attacco phishing via e-mail.
Gli aggressori hanno utilizzato credenziali rubate e cookie di sessione per accedere alla posta elettronica delle vittime per attacchi BEC (Business Email Compromessa) più efficaci e plausibili contro i colleghi delle vittime stesse. Redmond consiglia, infine, il monitoraggio continuo, soluzioni anti-phishing avanzate e politiche di accesso condizionato per mitigare il rischio AitM, incluso l’utilizzo (nei loro prodotti) del Fast ID Online (FIDO) v2.0.
