wieloczynnikowym (MFA). „Napastnicy wykorzystali następnie skradzione dane uwierzytelniające i pliki cookie sesji, aby uzyskać dostęp do skrzynek pocztowych dotkniętych użytkowników i przeprowadzić kolejne kampanie typu BEC (business email compromise) przeciwko innym celom” - poinformowały zespoły ds. cyberbezpieczeństwa firmy.

Włamania polegały na tworzeniu stron phishingowych typu adversary-in-the-middle (AitM), w których napastnik umieszcza serwer proxy pomiędzy potencjalną ofiarą a docelową stroną internetową, dzięki czemu odbiorcy wiadomości phishingowej są przekierowywani do podobnych stron docelowych, zaprojektowanych w celu przechwycenia danych uwierzytelniających i informacji MFA. Strona phishingowa ma dwie różne sesje Transport Layer Security (TLS) - jedną z celem, a drugą z rzeczywistą stroną internetową, do której cel chce się dostać. Te sesje oznaczają, że strona phishingowa praktycznie funkcjonuje jako agent AitM, przechwytując cały proces uwierzytelniania i wydobywając cenne dane z żądań HTTP, takie jak hasła i, co ważniejsze, pliki cookie sesji – wyjaśnia Microsoft.

Zobacz również:

• Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC

Po wejściu w posiadanie tych informacji, napastnicy wstrzykiwali ciasteczka do własnych przeglądarek, aby obejść proces uwierzytelniania, niezależnie od tego, czy ofiara miała włączone zabezpieczenia MFA. „Sesyjne cookie jest dla serwera WWW dowodem na to, że użytkownik został uwierzytelniony i ma trwającą sesję na stronie. W phishingu AitM atakujący próbuje uzyskać sesyjne ciasteczko użytkownika docelowego, aby móc pominąć cały proces uwierzytelniania i działać w jego imieniu- wyjaśnił Microsoft” – wyjaśnia Microsoft.

Kampania phishingowa zauważona przez Microsoft została zaaranżowana w celu wyróżnienia użytkowników Office 365 poprzez spoofing strony uwierzytelniania Office online, a aktorzy wykorzystali zestaw phishingowy Evilginx2 do przeprowadzenia ataków AitM.

Polegał on na wysyłaniu wiadomości e-mail zawierających przynęty w postaci wiadomości głosowych, które były oznaczone jako bardzo ważne, podstępnie zmuszając odbiorców do otwierania zainfekowanych złośliwym oprogramowaniem załączników HTML, które przekierowywały do stron docelowych służących do kradzieży danych uwierzytelniających.

Aby dopełnić oszustwa, użytkownicy zostali ostatecznie przekierowani na legalną stronę office[...]com po uwierzytelnieniu, ale nie wcześniej niż napastnicy wykorzystali wspomnianą wcześniej metodę AitM, aby wyłudzić ciasteczka sesyjne i uzyskać kontrolę nad skompromitowanym kontem.

Ataki nie skończyły się na tym, ponieważ aktorzy zagrożenia nadużyli dostępu do skrzynki pocztowej w celu dokonania oszustwa płatniczego, wykorzystując technikę zwaną email thread hijacking do zmylenia stron po drugiej stronie rozmowy w celu nielegalnego przelania środków na konta pod ich kontrolą. Aby dodatkowo zamaskować swoją komunikację z celem oszustwa, aktorzy zagrożeń stworzyli również reguły skrzynki pocztowej, które automatycznie przenosiły każdą przychodzącą wiadomość zawierającą odpowiednią nazwę domeny do folderu „Archive” i oznaczały ją jako „przeczytaną”. Wystarczyło zaledwie pięć minut od kradzieży danych uwierzytelniających i sesji, aby napastnik rozpoczął swoje dalsze oszustwa płatnicze.

Atakujący podobno wykorzystali Outlook Web Access (OWA) w przeglądarce Chrome do przeprowadzenia oszustwa, jednocześnie usuwając z folderu Inbox konta oryginalną wiadomość phishingową, jak również komunikację follow-on z celem zarówno z folderu Archive, jak i Sent Items, aby zatrzeć ślady. „Ta kampania phishingowa AiTM jest kolejnym przykładem na to, że zagrożenia wciąż ewoluują w odpowiedzi na środki bezpieczeństwa i polityki, które organizacje wprowadziły w celu obrony przed potencjalnymi atakami” - stwierdzili specjaliści Microsoftu. Podczas gdy AiTM phishing próbuje obejść MFA, ważne jest, aby podkreślić, że wdrożenie MFA pozostaje podstawowym filarem bezpieczeństwa tożsamości. MFA jest nadal bardzo skuteczne w powstrzymywaniu szerokiej gamy zagrożeń; jego skuteczność jest powodem, dla którego AiTM phishing pojawił się w pierwszej kolejności. Ustalenia pojawiają się w momencie, gdy grupa badaczy ze Stony Brook University i Palo Alto Networks zademonstrowała pod koniec ubiegłego roku nową technikę fingerprintingu, która umożliwia identyfikację zestawów phishingowych AitM na wolności przy użyciu narzędzia o nazwie PHOCA.

Aby chronić przed e-mailami phishingowymi, które podstępnie nakłaniają ofiary do kliknięcia w link, organizacje powinny szkolić pracowników, jak rozpoznawać i zgłaszać phishing, a także regularnie testować ich za pomocą symulowanych ataków phishingowych, które pozwalają im ćwiczyć te umiejętności. Ponadto, edukacja użytkowników w zakresie rozpoznawania fałszywych stron logowania znacznie zmniejszy ryzyko rezygnacji z danych uwierzytelniających i plików cookie sesji.