Es wurde eine neue, groß angelegte Phishing-Kampagne beobachtet, bei der Adversary-in-the-Middle (AitM)-Techniken eingesetzt werden, um Sicherheitsvorkehrungen zu umgehen und E-Mail-Konten von Unternehmen zu kompromittieren.
„Sie nutzt eine Adversary-in-the-Middle (AitM) Angriffstechnik, mit der die Multi-Faktor-Authentifizierung umgangen werden kann“, so die Zscaler-Forscher Sudeep Singh und Jagadeeswar Ramanukolanu in einem Bericht vom Dienstag. „Die Kampagne ist speziell darauf ausgerichtet, Endnutzer in Unternehmen zu erreichen, die die E-Mail-Dienste von Microsoft nutzen.
Zu den Hauptzielen gehören Unternehmen aus den Bereichen Finanzdienstleistungen, Kreditwesen, Versicherungen, Energie, Produktion und Kreditgenossenschaften in den USA, Großbritannien, Neuseeland und Australien.
Es ist nicht das erste Mal, dass ein solcher Phishing-Angriff ans Licht kommt. Letzten Monat gab Microsoft bekannt, dass seit September 2021 mehr als 10.000 Organisationen mit Hilfe von AitM-Techniken angegriffen wurden, um in Konten einzudringen, die mit einer Multi-Faktor-Authentifizierung (MFA) gesichert sind.
Die laufende Kampagne, die im Juni 2022 beginnt, beginnt mit einer E-Mail mit dem Thema Rechnung, die an die Zielpersonen geschickt wird und einen HTML-Anhang mit einer eingebetteten Phishing-URL enthält.
Wenn der E-Mail-Empfänger den Anhang über einen Webbrowser öffnet, wird er auf die Phishing-Seite umgeleitet, die sich als Anmeldeseite für Microsoft Office tarnt, aber erst, nachdem ein Fingerabdruck des kompromittierten Computers erstellt wurde, um festzustellen, ob es sich bei dem Opfer tatsächlich um das beabsichtigte Ziel handelt.
AitM-Phishing-Angriffe gehen über die traditionellen Phishing-Ansätze hinaus, die darauf abzielen, die Zugangsdaten von ahnungslosen Nutzern zu erbeuten.
Um dies zu umgehen, fungiert die mit einem Phishing-Kit entwickelte gefälschte Landing Page als Proxy, der die gesamte Kommunikation zwischen dem Client (d. h. dem Opfer) und dem E-Mail-Server abfängt und weiterleitet.
„Die Kits fangen den HTML-Inhalt ab, der von den Microsoft-Servern empfangen wird, und bevor sie ihn an das Opfer weiterleiten, wird der Inhalt vom Kit je nach Bedarf auf verschiedene Weise manipuliert, um sicherzustellen, dass der Phishing-Prozess funktioniert“, so die Forscher.
Dazu gehört auch, dass alle Links zu den Microsoft-Domains durch gleichwertige Links zur Phishing-Domain ersetzt werden, um sicherzustellen, dass die Verbindung zur betrügerischen Website während der gesamten Sitzung erhalten bleibt.
Zscaler beobachtete, dass sich der Angreifer acht Minuten nach dem Diebstahl der Zugangsdaten manuell in das Konto einloggte, E-Mails las und die Profilinformationen des Benutzers überprüfte.
In einigen Fällen werden die gehackten E-Mail-Postfächer anschließend genutzt, um weitere Phishing-E-Mails zu verschicken, die Teil derselben Kampagne sind, mit der BEC-Betrügereien (Business Email Compromise) durchgeführt werden.
„Auch wenn Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Sicherheitsebene darstellen, sollten sie nicht als Allheilmittel zum Schutz vor Phishing-Angriffen betrachtet werden“, so die Forscher.
„Mit fortschrittlichen Phishing-Kits (AiTM) und cleveren Umgehungstechniken können Bedrohungsakteure sowohl traditionelle als auch fortschrittliche Sicherheitslösungen umgehen.