Nueva campaña de phishing Adversary-in-the-Middle observada recientemente

Microsoft reveló detalles de una extensa campaña de phishing que no solo sustrajo las contraseñas de las víctimas, sino que también pudo eludir MFA. Los atacantes utilizaron una táctica conocida como Adversary-in-the-Middle (AiTM). Posteriormente, utilizaron las credenciales robadas para realizar ataques BEC contra otros objetivos. ¿Qué es el phishing AiTM? Implica que el adversario implemente […]

Microsoft reveló detalles de una extensa campaña de phishing que no solo sustrajo las contraseñas de las víctimas, sino que también pudo eludir MFA. Los atacantes utilizaron una táctica conocida como Adversary-in-the-Middle (AiTM).

Posteriormente, utilizaron las credenciales robadas para realizar ataques BEC contra otros objetivos.

¿Qué es el phishing AiTM?

Implica que el adversario implemente un servidor proxy entre el usuario objetivo y el sitio web que desea visitar. Esto permite al atacante interceptar y robar las contraseñas y las cookies de sesión del objetivo.

Cabe señalar que esto no constituye una falla en MFA. Dado que el atacante roba las cookies de sesión, se autentican independientemente del método de inicio de sesión de la víctima.

La campaña de phishing en cuestión

Los atacantes se han dirigido a más de 10.000 organizaciones desde septiembre pasado.

En concreto, falsificaron la página de autenticación en línea de Office para dirigirse a los usuarios de Office 365.

Para robar las cookies de sesión, los atacantes implementaron un servidor web que transmite paquetes HTTP del usuario cuando visitan el sitio web que los atacantes desean suplantar.

Esta técnica de phishing es especialmente conveniente para los actores de amenazas, ya que no tienen que crear sus propios sitios de phishing, a diferencia del método tradicional.

Una vez autenticados, los atacantes comenzaron a realizar pagos fraudulentos al autenticarse en Outlook para acceder a correos electrónicos y archivos relacionados con las finanzas. Además, los atacantes eliminaron el correo electrónico de phishing original de la bandeja de entrada de la víctima para ocultar los rastros de acceso inicial.