I ricercatori di Zscaler hanno scoperto una campagna di phishing su larga scala che sfrutta la tecnica AiTM (Adversary-in-The-Middle) per colpire principalmente gli utenti che usano i servizi email di Microsoft. I cybercriminali usano un kit che consente di aggirare l’autenticazione multi-fattore e varie tattiche di evasione per evitare la rilevazione da parte delle soluzioni di sicurezza.
Campagna di phishing contro utenti Microsoft
In base ai dati raccolti da Zscaler, la campagna di phishing è iniziata a giugno 2022 e colpisce aziende che operano in diversi settori. I link verso i siti infetti sono contenuti all’interno dell’email o nei file HTML allegati. I cybercriminali utilizzano vari metodi per il redirecting che portano sul sito di phishing. Per ingannare gli utenti vengono utilizzati domini simili a quelli originali oppure con nomi che indicano lo scopo dell’email, ad esempio il reset della password.
Quando l’utente visita il sito viene effettuato il fingerprinting. Un codice JavaScript raccoglie informazioni sul sistema operativo per distinguere tra dispositivi reali e macchine virtuali (usate dai ricercatori di sicurezza). Dato che l’accesso a molti servizi online viene protetto dall’autenticazione multi-fattore, i cybercriminali possono rubare le credenziali usando un kit per eseguire l’attacco AiTM.
Viene inserito un reverse proxy tra la vittima e il server email. Quando il server chiede il codice MFA, il kit di phishing mostra la richiesta all’utente che inserisce il codice nella pagina di phishing. I dati vengono quindi inoltrati al servizio email, consentendo ai malintenzionati di rubare i cookie di autenticazione e quindi accedere all’account. I consigli sono ovvi: non cliccare su link sospetti o aprire gli allegati provenienti da fonti sconosciute e controllare il dominio del sito prima di inserire le credenziali.