AiTM támadások
A Microsoft azonosított egy adathalász kampányt, amely az ellenséges közbeékelődéses támadást (Adversary-in-The-Middle – AiTM) használó adathalász oldalakat használva jelszavakat lopott, eltérítette a felhasználó bejelentkezési munkamenetét, és még akkor is kihagyta a hitelesítési folyamatot, ha a felhasználó engedélyezte a többtényezős hitelesítést. A támadók az ellopott hitelesítő adatokat és munkamenet-sütiket használták fel, hogy hozzáférjenek az érintett felhasználók postafiókjaihoz, és üzleti e-mail-kompromittációs (BEC) kampányokat hajtsanak végre más célpontok ellen. Fenyegetési adataink alapján az AiTM adathalász kampány 2021 szeptembere óta több mint 10 000 szervezetet próbált megcélozni.
Az AiTM adathalászat során a támadók proxyszervert telepítenek a célfelhasználó és a felhasználó által meglátogatni kívánt webhely (vagyis a támadó által megszemélyesíteni kívánt webhely) közé. Egy ilyen beállítás lehetővé teszi a támadó számára, hogy ellopja a célpont jelszavát és a munkamenet cookie-t, amely igazolja a webhelyen a folyamatos és hitelesített munkamenetet. Ez nem az MFA sérülékenysége, mert az AiTM adathalászat ellopja a munkamenet-cookie-t, a támadó a felhasználó nevében hitelesítik a munkamenetet, függetlenül attól, hogy az utóbbi milyen bejelentkezési módot használ.
A weboldalak többsége egy munkamenetet valósít meg a felhasználóval a sikeres hitelesítés után, így a felhasználót nem kell minden új oldal meglátogatásakor hitelesíteni. Ezt a munkamenet-funkciót a kezdeti hitelesítést követően egy hitelesítési szolgáltatás által biztosított munkamenet cookie-n keresztül valósítják meg. A munkamenet-cookie a webszerver számára annak bizonyítéka, hogy a felhasználót hitelesítették, és folyamatban van a munkamenete a webhelyen. Az AiTM adathalászat során a támadó megpróbálja megszerezni a célfelhasználó munkamenet-cookie-ját, hogy kihagyhassa a teljes hitelesítési folyamatot, és az utóbbi nevében cselekedhessen.
A Microsoft elemzése alapján ezek a kampányok az Evilginx2 adathalász készletet használják AiTM infrastruktúrájukként.