Uma emergente plataforma de phishing-as-a-service (PhaaS) chamada Mamba 2FA tem sido notada por visar contas da Microsoft 365 em ataques AiTM (adversary-in-the-middle), utilizando páginas de login bem elaboradas.
Adicionalmente, Mamba 2FA oferece aos atores de ameaças um mecanismo AiTM para capturar os tokens de autenticação das vítimas e burlar proteções de multi-fator authentication (MFA) em suas contas.
Atualmente, Mamba 2FA é vendido para cibercriminosos por $250/mês, o que é um preço competitivo que o posiciona entre as plataformas de phishing mais atraentes e de maior crescimento no mercado.
Mamba 2FA foi primeiramente documentado pelos analistas da Any.Run no final de junho de 2024, mas relatórios da Sekoia indicam que a atividade ligada à plataforma de phishing tem sido monitorada desde maio de 2024.
Evidências adicionais mostram que Mamba 2FA tem apoiado campanhas de phishing desde novembro de 2023, com o kit sendo vendido inicialmente no ICQ e, posteriormente, no Telegram.
Após o relato da Any.Run sobre uma campanha apoiada pelo Mamba 2FA, os operadores do kit de phishing fizeram várias mudanças em sua infraestrutura e métodos para aumentar a discrição e longevidade das campanhas de phishing.
Por exemplo, a partir de outubro, Mamba 2FA introduziu servidores proxy fornecidos pela IPRoyal, um provedor comercial, para mascarar os endereços IP dos servidores de retransmissão nos logs de autenticação.
Anteriormente, os servidores de retransmissão conectavam-se diretamente aos servidores Microsoft Entra ID, expondo os endereços IP e facilitando os bloqueios.
Agora, domínios de links usados em URLs de phishing são muito curtos e tipicamente rotacionados semanalmente para evitar listas de bloqueio por soluções de segurança.
Outra mudança foi o aprimoramento de anexos HTML usados em campanhas de phishing com conteúdo benigno para ocultar um pequeno snippet de JavaScript que desencadeia o ataque, tornando mais difícil para as ferramentas de segurança detectá-lo.
Mamba 2FA é especificamente projetado para visar usuários dos serviços da Microsoft 365, incluindo contas corporativas e de consumidores.
Como outras plataformas PhaaS similares, ele usa relays de proxy para conduzir ataques de phishing AiTM, permitindo que os atores de ameaças acessem código de passagem único e cookies de autenticação.
O mecanismo AiTM utiliza a biblioteca JavaScript Socket.IO para estabelecer comunicação entre a página de phishing e os servidores de retransmissão no backend, que por sua vez comunicam-se com os servidores da Microsoft usando os dados roubados.
Mamba 2FA oferece templates de phishing para diversos serviços da Microsoft 365, incluindo OneDrive, SharePoint Online, páginas genéricas de login da Microsoft e notificações falsas de correio de voz que redirecionam para uma página de login da Microsoft.
Para contas empresariais, as páginas de phishing assumem dinamicamente a marcação de login personalizada da organização alvo, incluindo logos e imagens de fundo, tornando a tentativa mais autêntica.
Credenciais capturadas e cookies de autenticação são transmitidos ao atacante através de um bot do Telegram, permitindo que iniciem uma sessão imediatamente.
Mamba 2FA também apresenta detecção de sandbox, redirecionando usuários para páginas de erro 404 do Google quando deduz que está sendo analisada.
No geral, a plataforma Mamba 2FA é mais uma ameaça às organizações, permitindo que atores de baixa habilidade realizem ataques de phishing altamente eficazes.
Para se proteger contra operações PhaaS que utilizam táticas AiTM, considere usar chaves de segurança de hardware, autenticação baseada em certificados, geo-blocking, listas de permissões de IP, listas de permissões de dispositivos e redução da vida útil de tokens.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...