Microsoft ha rilevato un aumento degli attacchi AiTM (Adversary-in-The-Middle), una versione più sofisticata del phishing che permette di aggirare l’autenticazione multi-fattore attraverso la funzionalità di reverse proxy. L’azienda di Redmond ha scoperto che il gruppo DEV-1101 (il nome reale non è noto) sviluppa, supporta e pubblicizza i kit che altri cybercriminali acquistano o noleggiano.
Phishing kit per attacchi AiTM
DEV-1101 ha iniziato a pubblicizzare il kit AiTM nel mese di maggio 2022 tramite un canale Telegram. Inizialmente il costo dell’abbonamento mensile era 100 dollari. Nei mesi successivi sono state aggiunte varie funzionalità, tra cui la gestione dei server tramite un bot di Telegram, invece del tradizionale cPanel, in modo da consentire gli attacchi da un dispositivo mobile. Il costo è quindi aumentato a 300 dollari/mese (c’è anche una licenza VIP a 1.000 dollari/mese).
Una delle campagne di phishing più recenti prevede l’invio di email con un pulsante “Apri” nel corpo del messaggio. Cliccando sul pulsante viene effettuato un redirect alla pagina di phishing. Le credenziali di login (ad esempio indirizzo email e password) vengono quindi inviate ai cybercriminali.
Se è attiva l’autenticazione multi-fattore, il kit AiTM funziona come proxy server. Quando l’utente completa l’accesso, il server cattura i cookie di sessione che, abbinati alle credenziali rubate, consente di prendere il controllo dell’account. È chiaro che questo tipo di attacco rende inutili i codici OTP. Occorrono quindi metodi di autenticazione più robusti, come le chiavi di sicurezza hardware.