Um kit de phishing de adversário no meio (AiTM) de código aberto encontrou vários adeptos no mundo do crime cibernético por sua capacidade de orquestrar ataques em escala.
A Microsoft Threat Intelligence está rastreando o ator ameaçador por trás do desenvolvimento do kit sob o nome emergente DEV-1101.
Um ataque de phishing AiTM envolve normalmente um ator ameaçador tentando roubar e interceptar a senha e os cookies de sessão de um alvo, implantando um servidor proxy entre o usuário e o site.
Esses ataques são mais eficazes devido à sua capacidade de contornar as proteções de autenticação multifator (MFA).
DEV-1101, segundo a gigante de tecnologia, é dito ser a parte por trás de vários kits de phishing que podem ser comprados ou alugados por outros atores criminosos, reduzindo assim o esforço e os recursos necessários para lançar uma campanha de phishing.
"A disponibilidade desses kits de phishing para compra por atacantes faz parte da industrialização da economia do crime cibernético e reduz a barreira de entrada para o crime cibernético", disse a Microsoft em um relatório técnico.
A economia baseada em serviços que alimenta tais ofertas também pode resultar em dupla fraude, em que as credenciais roubadas são enviadas tanto para o provedor de phishing como serviço quanto para seus clientes.
O kit de código aberto da DEV-1101 vem com recursos que tornam possível configurar páginas de destino de phishing imitando o Microsoft Office e o Outlook, além de gerenciar campanhas a partir de dispositivos móveis e até mesmo usar verificações CAPTCHA para evitar detecção.
O serviço, desde sua estreia em maio de 2022, passou por várias melhorias, sendo a principal delas a capacidade de gerenciar servidores que executam o kit por meio de um bot do Telegram.
Atualmente, tem um preço de US$ 300 para uma taxa de licenciamento mensal, com licenças VIP custando US$ 1.000.
A Microsoft disse que detectou inúmeras campanhas de phishing de alto volume abrangendo milhões de e-mails de phishing por dia de vários atores que se aproveitam da ferramenta.
Isso inclui um cluster de atividades apelidado de DEV-0928 que a Redmond descreveu como um dos "patrocinadores mais proeminentes" do DEV-1101 e que foi ligado a uma campanha de phishing com mais de um milhão de e-mails desde setembro de 2022.
A sequência de ataque começa com mensagens de e-mail com tema de documento contendo um link para um documento PDF, que, quando clicado, direciona o destinatário para uma página de login que se faz passar pelo portal de login da Microsoft, mas não antes de instigar a vítima a completar uma etapa CAPTCHA.
"Inserir uma página CAPTCHA na sequência de phishing poderia tornar mais difícil para sistemas automatizados alcançar a página final de phishing, enquanto um humano poderia facilmente clicar na próxima página", disse a Microsoft.
Embora esses ataques AiTM sejam projetados para contornar o MFA, é crucial que as organizações adotem métodos de autenticação resistentes ao phishing, como usar chaves de segurança FIDO2, para bloquear tentativas de login suspeitas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...