Phishing alat otvorenog koda za krađu identiteta pod imenom protivnik u sredini (AiTM) pronašao je brojne korisnike u svijetu kibernetičkog kriminala zbog svoje sposobnosti da orkestrira napade u velikim razmjerima.
Microsoft Threat Intelligence tim prati hakera koji stoji iza razvoja ovog alata pod njegovim novim imenom DEV-1101.
AiTM phishing napad obično uključuje hakera koji pokušava ukrasti i presresti ciljnu lozinku i kolačiće sesije postavljanjem proxy servera između korisnika i web stranice.
Takvi napadi su efikasniji zbog svoje sposobnosti da zaobiđu zaštitu višefaktorske autentifikacije (MFA).
Za DEV-1101, prema tehničkom divu, se kaže da stoji iza nekoliko alata za krađu identiteta koje mogu kupiti ili iznajmiti drugi hakeri, čime se smanjuju napori i resursi potrebni za pokretanje phishing kampanje.
„Dostupnost takvih alata za krađu identiteta za kupovinu od strane napadača dio je industrijalizacije kibernetičke kriminalne ekonomije i smanjuje barijeru ulaska u polje kibernetičkog kriminala“ navodi Microsoft u tehničkom izvještaju.
Ekonomija zasnovana na uslugama koja podstiče takve ponude takođe može dovesti do dvostruke krađe, pri čemu se ukradeni kredencijali šalju i pružaocu usluge phishing-as-a-service kao i njihovim klijentima.
Alat otvorenog koda DEV-1101 dolazi sa funkcijama koje omogućavaju postavljanje phishing odredišnih stranica koje oponašaju Microsoft Office i Outlook, a da ne spominjemo upravljanje kampanjama s mobilnih uređaja, pa čak i korištenje CAPTCHA provjera kako bi se izbjeglo otkrivanje.
Usluga je, od svog debija u maju 2022. godine, doživjela nekoliko poboljšanja, a glavno među njima je mogućnost upravljanja serverima koji pokreću alat preko Telegram bota. Trenutno ima cijenu od 300 dolara za mjesečnu naknadu za licenciranje, a VIP licence koštaju 1000 dolara.
Microsoft je saopštio da je otkrio brojne phishing kampanje velikog obima koje obuhvataju milione phishing poruka dnevno od raznih hakera koji koriste ovaj alat.
Ovo uključuje grupu aktivnosti nazvanu DEV-0928 koju je Redmond opisao kao jednog od “istaknutijih pokrovitelja DEV-1101” i koja je povezana sa phishing kampanjom koja se sastoji od preko milion email-ova od septembra 2022. godine.
Slijed napada počinje s email porukama s temom dokumenta koje sadrže vezu do PDF dokumenta, a kada se klikne, usmjerava žrtvu na stranicu za prijavu koja se maskira kao Microsoft-ov portal za prijavu, ali ne prije nego što žrtvu podstakne da dovrši CAPTCHA korak.
„Umetanje CAPTCHA stranice u sekvencu za krađu identiteta moglo bi otežati automatizovanim sistemima da dođu do konačne phishing stranice, dok bi čovek mogao lako da klikne na sledeću stranicu“ rekao je Microsoft.
Iako su ovi AiTM napadi dizajnirani da zaobiđu MFA, ključno je da organizacije usvoje metode autentifikacije otporne na phishing, kao što je korištenje FIDO2 sigurnosnih ključeva, kako bi blokirale sumnjive pokušaje prijave.
Izvor: The Hacker News
