I ricercatori di Prooftpoint hanno rilevato un aumento degli attacchi di phishing che aggirano l’autenticazione multi-fattore (MFA). Uno dei toolkit più noti, ovvero EvilProxy, sfrutta la tecnica Adversary-in-the-Middle (AitM) per rubare credenziali di login e cookie di sessione in tempo reale. Le vittime sono principalmente i dirigenti di grandi aziende.
EvilProxy aggira l’autenticazione multi-fattore
Durante una delle campagne più recenti, in corso da marzo, EvilProxy è stato utilizzato per colpire migliaia di account Microsoft 365. Tra marzo e giugno sono state inviate oltre 120.000 email di phishing. Il messaggio sembra provenire da fonti conosciute, come Adobe, Concur e DocuSign. Cliccando sul link viene effettuata una serie di reindirizzamenti, passando per YouTube e alcuni siti legittimi in cui è stato iniettato il codice PHP che decodifica l’indirizzo email delle vittime.
Dopo aver individuato il dominio dall’indirizzo email, i cybercriminali portano il dipendente sulla pagina di phishing che ha un design simile a quella dell’azienda. Le credenziali inserite nella pagina vengono rubate sfruttando la tecnica AitM. EvilProxy intercetta la richiesta di autenticazione multi-fattore e la inoltra al server reale. Quindi intercetta la risposta del server e la inoltra al client della vittima. Nel frattempo ha registrato i cookie di sessione che consentono di accedere all’account Microsoft 365.
Per ottenere la persistenza viene cambiato il metodo di autenticazione nelle impostazioni dell’account. L’uso della MFA ha incrementato la diffusione dei reverse proxy, come EvilProxy. I target preferiti sono i dirigenti di grandi aziende, in quanto è possibile rubare informazioni molto riservate. La soluzione più efficace contro questo tipo di minaccia è l’uso delle chiavi di sicurezza hardware.