DEV-1101 phishing kit. MFA? Mi fa un baffo!

19 Marzo 202315 Marzo 2023 Giovanni Popolizio AiTM, cybersicurezza, DEV-0928, DEV-1101, DEV-1101 phishing kit, MFA, Microsoft 365, Microsoft Office, Multi-factor authentication, office 365 phishing, Outlook, phishing

Il DEV-1101 phishing kit.

DEV-1101 phishing kit. Vi è una tendenza crescente nell’uso di kit di phishing per lanciare attacchi Adversary-in-the-Middle (AiTM). Uno di questi kit è offerto da un gruppo di cybercriminali chiamato DEV-1101, che ha permesso a vari criminali informatici di lanciare diverse campagne di phishing ad alto volume.

Adversary-in-the-Middle

Le tecniche di AitM sembrano inizialmente identiche al normale phishing di credenziali. In genere, un’e-mail indirizza l’utente a una pagina di login falsa, che ruba le credenziali quando l’utente tenta di accedere. Nel caso del normale phishing di credenziali, questa falsa pagina di login ha raggiunto il suo scopo: memorizza le credenziali e l’aggressore tenterà di utilizzarle in un secondo momento. Il phishing di AitM, invece, fa qualcosa di diverso: proxy automaticamente le credenziali alla pagina di login reale e, se l’account richiede l’MFA, gli utenti vengono sollecitati. Quando completano l’MFA, la pagina Web completa la sessione di login e ruba il cookie di sessione. Finché il cookie è attivo, l’aggressore dispone di una sessione nell’account della vittima.

MFA ?

L’autenticazione a più fattori MFA (Multi-factor authentication) è un processo di accesso all’account in più fasi che richiede agli utenti di inserire più informazioni rispetto alla sola password. Ad esempio, oltre alla password, agli utenti potrebbe essere richiesto di inserire un codice inviato alla loro e-mail, di rispondere a una domanda segreta o di scansionare un’impronta digitale.

Il kit di phishing

DEV-1101 ha iniziato a pubblicizzare il suo kit di phishing AiTM nel maggio 2022 attraverso un canale Telegram e un forum di criminalità informatica chiamato exploit[.]in.

Il kit, scritto in NodeJS, è dotato di funzionalità di reverse-proxy PHP, configurazione automatizzata e tecniche anti-evasione.
Include un’ampia gamma di pagine di phishing già pronte che imitano servizi come Microsoft Office e Outlook.
Nel giugno 2022, l’hacker ha apportato diversi miglioramenti al kit con un costo di licenza mensile di 100 dollari.
Verso settembre 2022, DEV-11-1 ha aggiunto una nuova capacità di gestire i server del kit attraverso un bot Telegram, grazie al quale lo strumento è diventato molto popolare tra gli aggressori.

Metodo di attacco

DEV-0928, uno dei clienti premium di DEV-1101, ha utilizzato il kit per lanciare una campagna di phishing che ha coinvolto oltre un milione di e-mail.

L’attacco è iniziato con un’e-mail di phishing che invitava gli utenti a cliccare sul file pdf.
Facendo clic sul file pdf, gli utenti venivano reindirizzati a pagine di phishing che imitavano la pagina di login di Microsoft.
Il kit inserisce abilmente una pagina CAPTCHA nella sequenza di phishing, che gli hacker aggirano grazie all’interazione uomo-macchina.

Ha Funzionato ? Si funziona !

Una campagna BEC lanciata nell’agosto del 2022 ha utilizzato attacchi AiTM per violare gli account Microsoft 365 appartenenti a dirigenti aziendali. Gli aggressori hanno sfruttato il framework di phishing proxy evilginx2 per eseguire l’attacco AiTM.
In un altro caso, diversi domini registrati di recente sono stati utilizzati come parte della campagna AiTM che ha preso di mira gli utenti aziendali dei servizi di posta elettronica Microsoft.

Come proteggersi.

Poiché gli attacchi di phishing AiTM tentano di aggirare l’MFA, si consiglia alle organizzazioni di implementare ulteriori livelli di sicurezza multipli per una protezione efficce. Il monitoraggio continuo dei sistemi alla ricerca di attività sospette aiuta inoltre a eliminare l’attacco nella fase iniziale.