Μια νέα πλατφόρμα phishing-as-a-service (PhaaS), που ονομάζεται Mamba 2FA, στοχεύει λογαριασμούς Microsoft 365 σε επιθέσεις AiTM και επιτρέπει στους επιτιθέμενους να κλέβουν τα authentication tokens του θύματος και να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) στους λογαριασμούς τους.

Η υπηρεσία Mamba 2FA πωλείται σε εγκληματίες του κυβερνοχώρου για 250 $/μήνα, μια δελεαστική τιμή, που μπορεί να βοηθήσει την πλατφόρμα να γίνει πολύ δημοφιλής.

Η Mamba 2FA αναφέρθηκε πρώτα από τους αναλυτές του Any.Run στα τέλη Ιουνίου 2024. Ωστόσο, η Sekoia αναφέρει ότι παρακολουθεί δραστηριότητες που συνδέονται με την phishing πλατφόρμα, από τον Μάιο του 2024.

Δείτε επίσης: INTERPOL: Σύλληψη οκτώ ατόμων για phishing & romance scams

Επίσης, υπάρχουν στοιχεία που δείχνουν ότι η Mamba 2FA υποστήριζε καμπάνιες phishing ήδη από τον Νοέμβριο του 2023 και το phishing kit πωλούνταν στο ICQ και αργότερα στο Telegram.

Μετά την αναφορά του Any.Run για μια καμπάνια που υποστηριζόταν από την υπηρεσία Mamba 2FA, οι χειριστές του phishing kit πραγματοποίησαν αρκετές αλλαγές στην υποδομή και τις μεθόδους τους.

Για παράδειγμα, από τον Οκτώβριο, η Mamba 2FA παρουσίασε proxy servers από την IPRoyal, έναν εμπορικό πάροχο. Στόχος των χειριστών ήταν να κρύψουν τις διευθύνσεις IP των relay servers στα αρχεία καταγραφής ελέγχου ταυτότητας.

Προηγουμένως, οι relay servers συνδέονταν απευθείας με Microsoft Entra ID servers, εκθέτοντας τις διευθύνσεις IP και διευκολύνοντας τα μπλοκ.

Μια άλλη αλλαγή έχει να κάνει με τα Link domains στις phishing διευθύνσεις URL. Πλέον είναι βραχύβια και συνήθως εναλλάσσονται σε εβδομαδιαία βάση για να αποφευχθεί ο αποκλεισμός από λογισμικά ασφαλείας.

Δείτε επίσης: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs

Τέλος, οι χειριστές έχουν βελτιώσει τα HTML attachments που χρησιμοποιούνται στις phishing επιθέσεις. Χρησιμοποιούν και νόμιμο filler content για την απόκρυψη ενός μικρού αποσπάσματος JavaScript που πυροδοτεί την επίθεση. Με αυτόν τον τρόπο, καθίσταται δυσκολότερος ο εντοπισμός από εργαλεία ασφαλείας.

Η Mamba 2FA στοχεύει λογαριασμούς Microsoft 365

Η υπηρεσία Mamba 2FA έχει σχεδιαστεί ειδικά για να στοχεύει χρήστες υπηρεσιών Microsoft 365 (με εταιρικούς και απλούς λογαριασμούς).

Όπως και άλλες πλατφόρμες PhaaS, χρησιμοποιεί proxy relays για τη διεξαγωγή AiTM phishing επιθέσεων, επιτρέποντας στους επιτιθέμενους να έχουν πρόσβαση σε κωδικούς πρόσβασης μίας χρήσης και σε authentication cookies.

Ο μηχανισμός AiTM χρησιμοποιεί τη βιβλιοθήκη Socket.IO JavaScript για να δημιουργήσει επικοινωνία μεταξύ της σελίδας phishing και των relay servers στο backend. Αυτοί με τη σειρά τους επικοινωνούν με τους διακομιστές της Microsoft χρησιμοποιώντας τα κλεμμένα δεδομένα.

Σύμφωνα με τους ερευνητές, η Mamba 2FA προσφέρει στους κυβερνοεγκληματίες μια ποικιλία από phishing templates, κατάλληλα για διάφορες υπηρεσίες του Microsoft 365, όπως το OneDrive, το SharePoint Online και τις γενικές σελίδες σύνδεσης της Microsoft. Υπάρχουν, επίσης, ψεύτικες ειδοποιήσεις voicemail για ανακατεύθυνση σε μια υποτιθέμενη σελίδα σύνδεσης της Microsoft.

Για στόχευση εταιρικών λογαριασμών, οι σελίδες phishing χρησιμοποιούν το brand του στοχευόμενου οργανισμού, τα λογότυπα και τις εικόνες φόντου, ώστε οι phishing σελίδες να φαίνονται αυθεντικές.

Δείτε επίσης: Zimperium: Οι mobile συσκευές στο στόχαστρο phishing επιθέσεων

Τα κλεμμένα credentials και authentication cookies μεταδίδονται στον εισβολέα μέσω ενός Telegram bot, επιτρέποντάς του να ξεκινήσει αμέσως ένα session.

Η phishing υπηρεσία Mamba 2FA διαθέτει επίσης ανίχνευση sandbox, ανακατευθύνοντας τους χρήστες σε ιστοσελίδες Google 404, αν δει ότι βρίσκεται υπό ανάλυση.

Συμπερασματικά, η πλατφόρμα αυτή είναι μια νέα απειλή για χρήστες και οργανισμούς, αφού μπορεί να επιτρέψει σχεδόν σε οποιονδήποτε να πραγματοποιήσει αποτελεσματικές επιθέσεις phishing.

Επιπλέον, η Mamba 2FA επιτρέπει στους κυβερνοεγκληματίες να παρακάμπτουν την προστασία δύο παραγόντων (2FA), πράγμα που αυξάνει τις πιθανότητες επιτυχημένων επιθέσεων. Έτσι, οι χρήστες των λογαριασμών Microsoft 365 είναι εκτεθειμένοι σε μεγαλύτερο κίνδυνο.

Οι επιθέσεις αυτές μπορούν να οδηγήσουν σε απώλεια εμπιστευτικών δεδομένων, όπως προσωπικές πληροφορίες, διαπιστευτήρια πρόσβασης και εταιρικά δεδομένα. Επιπλέον, μπορούν να υπάρχουν οικονομικές απώλειες, καθώς οι επιθέσεις phishing μπορούν να χρησιμοποιηθούν για την παραπλάνηση των θυμάτων να παραδώσουν τα διαπιστευτήρια τους για τραπεζικούς λογαριασμούς ή άλλες υπηρεσίες πληρωμής.

Για προστασία από πλατφόρμες PhaaS, που χρησιμοποιούν τακτικές AiTM, συνιστάται η χρήση hardware security keys, ο έλεγχος ταυτότητας βάσει πιστοποιητικών, ο γεωγραφικός αποκλεισμός, η χρήση ενός IP allowlisting, ένα device allowlisting και token lifespan shortening.

Πηγή: www.bleepingcomputer.com