Um kit de phishing de adversário no meio (AiTM) de código aberto encontrou vários adeptos no mundo do crime cibernético por sua capacidade de orquestrar ataques em escala.
A Microsoft Threat Intelligence está rastreando o ator ameaçador por trás do desenvolvimento do kit sob o nome emergente DEV-1101.
Um ataque de phishing AiTM envolve normalmente um ator ameaçador tentando roubar e interceptar a senha e os cookies de sessão de um alvo, implantando um servidor proxy entre o usuário e o site.
Esses ataques são mais eficazes devido à sua capacidade de contornar as proteções de autenticação multifator (MFA).
DEV-1101, segundo a gigante de tecnologia, é dito ser a parte por trás de vários kits de phishing que podem ser comprados ou alugados por outros atores criminosos, reduzindo assim o esforço e os recursos necessários para lançar uma campanha de phishing.
"A disponibilidade desses kits de phishing para compra por atacantes faz parte da industrialização da economia do crime cibernético e reduz a barreira de entrada para o crime cibernético", disse a Microsoft em um relatório técnico.
A economia baseada em serviços que alimenta tais ofertas também pode resultar em dupla fraude, em que as credenciais roubadas são enviadas tanto para o provedor de phishing como serviço quanto para seus clientes.
O kit de código aberto da DEV-1101 vem com recursos que tornam possível configurar páginas de destino de phishing imitando o Microsoft Office e o Outlook, além de gerenciar campanhas a partir de dispositivos móveis e até mesmo usar verificações CAPTCHA para evitar detecção.
O serviço, desde sua estreia em maio de 2022, passou por várias melhorias, sendo a principal delas a capacidade de gerenciar servidores que executam o kit por meio de um bot do Telegram.
Atualmente, tem um preço de US$ 300 para uma taxa de licenciamento mensal, com licenças VIP custando US$ 1.000.
A Microsoft disse que detectou inúmeras campanhas de phishing de alto volume abrangendo milhões de e-mails de phishing por dia de vários atores que se aproveitam da ferramenta.
Isso inclui um cluster de atividades apelidado de DEV-0928 que a Redmond descreveu como um dos "patrocinadores mais proeminentes" do DEV-1101 e que foi ligado a uma campanha de phishing com mais de um milhão de e-mails desde setembro de 2022.
A sequência de ataque começa com mensagens de e-mail com tema de documento contendo um link para um documento PDF, que, quando clicado, direciona o destinatário para uma página de login que se faz passar pelo portal de login da Microsoft, mas não antes de instigar a vítima a completar uma etapa CAPTCHA.
"Inserir uma página CAPTCHA na sequência de phishing poderia tornar mais difícil para sistemas automatizados alcançar a página final de phishing, enquanto um humano poderia facilmente clicar na próxima página", disse a Microsoft.
Embora esses ataques AiTM sejam projetados para contornar o MFA, é crucial que as organizações adotem métodos de autenticação resistentes ao phishing, como usar chaves de segurança FIDO2, para bloquear tentativas de login suspeitas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...