СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
1 июня
#ИБ

AiTM-фишинг крадет сессии Microsoft, обходя MFA

Исследовательская группа SonicWall Capture Labs выявила активную phishing-кампанию, в которой злоумышленники используют атаки типа Adversary-in-the-Middle (AiTM) и вредоносные PDF-документы. Главная опасность этой схемы в том, что она позволяет обходить MFA не за счет подбора паролей, а за счет кражи cookies аутентифицированной сессии.

Как меняется phishing

Традиционные phishing-атаки обычно строятся вокруг поддельного веб-сайта, имитирующего легитимный ресурс, а также сообщений, создающих ощущение срочности. Цель таких кампаний — заставить жертву самостоятельно ввести учетные данные.

Однако по мере распространения MFA подобный подход теряет эффективность: одних только логина и пароля часто недостаточно для получения доступа к учетной записи. На этом фоне атаки AiTM выглядят значительно опаснее.

Суть схемы AiTM

В отличие от классического phishing, в атаке AiTM между жертвой и legitimate website размещается proxy-server. Он действует как промежуточное звено и позволяет в real time перехватывать не только пароль, но и аутентифицированную session cookie.

Именно это делает технику особенно опасной: злоумышленник получает не просто учетные данные, а уже подтвержденную сессию, которую можно использовать для доступа к аккаунту.

Как работает кампания

В рамках выявленной кампании пользователи перенаправляются на вредоносный URL-адрес. Сначала им показывается CAPTCHA, которая создает видимость легитимности и затрудняет автоматизированный analysis безопасности.

После взаимодействия с CAPTCHA пользователю демонстрируется поддельный verification code, который предлагается скопировать. Именно это действие запускает перенаправление на подлинную Microsoft login page.

Такой прием social engineering снижает уровень подозрительности и уменьшает «трение» для пользователя во время атаки.

Что происходит после ввода данных

Вредоносный proxy непрерывно перехватывает и пересылает все пользовательские коммуникации в настоящую authentication service. Когда жертва вводит учетные данные и подтверждает MFA-запросы, инфраструктура злоумышленника silently фиксирует эту информацию.

После успешной аутентификации legitimate website выдает session cookie. Злоумышленник перехватывает этот cookie и загружает его в свой browser, получая доступ к аккаунту жертвы без дополнительных учетных данных или факторов аутентификации.

Почему это важно

Инцидент показывает, что phishing продолжает эволюционировать и выходит далеко за пределы примитивных схем с поддельными формами входа. Атаки AiTM используют существующие механизмы защиты против самой жертвы, обходя традиционную проверку учетных данных.

Вывод из этого отчета очевиден: одной только проверки логина и пароля уже недостаточно. Организациям необходимо усиливать защиту за рамками классической аутентификации, поскольку современные phishing-кампании способны перехватывать уже подтвержденные сессии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: