Home Sociedad Microsoft advierte sobre el aumento del adversario en el medio, en las...

Microsoft advierte sobre el aumento del adversario en el medio, en las plataformas de phishing

Microsoft ha observado una proliferación de técnicas de adversario en el medio (AiTM) implementadas a través de plataformas de phishing como servicio (PhaaS), explicó la compañía en una serie de tweets publicados el 28 de agosto de 2023.

Por un lado, ha habido un número cada vez mayor de nuevas plataformas PhaaS compatibles con AiTM a lo largo de 2023; por otro lado, los servicios de phishing establecidos, como PerSwaysion, también han agregado capacidades AiTM.

Las dos técnicas más utilizadas para los ataques AiTM impulsados por phishing son los servidores proxy inversos y los servidores de retransmisión sincrónicos.

En el primer caso, observado en kits de phishing como EvilGinx, Modlishka, Muraena y EvilProxy, cada paquete HTTP se envía mediante proxy hacia y desde el sitio web original, lo que hace que la URL sea la única diferencia visible entre la página de phishing y el sitio legítimo.

En el segundo, típicamente utilizado por Storm-1295, el grupo de actores detrás de la plataforma Greatness PhaaS, al objetivo se le presenta una copia o imitación de una página de inicio de sesión, como los ataques de phishing tradicionales.

A diferencia de los ataques de phishing tradicionales, el phishing de AiTM tiene como objetivo robar las cookies de sesión almacenadas por los navegadores para permitir a los usuarios acceder a sistemas privilegiados sin necesidad de volver a autenticarse. Esto permite a los atacantes realizar campañas de phishing de gran volumen que intentan eludir las protecciones de autenticación multifactor (MFA) a escala.

Esto significa que los procedimientos de respuesta a incidentes para AiTM requieren la revocación de las cookies de sesión robadas.