Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Uno schema di compromissione della posta elettronica aziendale rivolto a CEO e CFO che utilizzano su Microsoft Office 365 combina il phishing con un attacco man-in-the-middle per sconfiggere l’autenticazione a più fattori.
Questi attacchi sfruttano una supervisione della progettazione di Microsoft 365 che consente ai malintenzionati di compromettere gli account con MFA abilitato e ottenere la persistenza nei sistemi delle vittime aggiungendo un nuovo metodo di autenticazione compromesso che consente loro di tornare in qualsiasi momento.
Questo secondo i ricercatori di sicurezza di Mitiga, che a quanto pare hanno individuato sia la campagna che il difetto di Microsoft 365.
“Sfruttando questo accesso illimitato, gli aggressori monitorano gli account e-mail della vittima fino a quando sta per verificarsi una transazione sostanziale, quindi inviano un’e-mail fraudolenta chiedendo il cambio del conto bancario di destinazione a un account che controlla gli aggressori, rubando di fatto quei fondi”
Hanno spiegato la società di risposta agli incidenti, aggiungendo che questa campagna è ormai diffusa su Internet e mira a grandi transazioni fino a diversi milioni di dollari ciascuna.
In primo luogo, la vittima riceve un’e-mail di phishing che sembra provenire da DocuSign e ha persino un indirizzo “docusign.net” legittimo, ma è falso. I ricercatori di Mitiga hanno notato che Microsoft ha contrassegnato questa e-mail come tentativo di phishing, ma non è stata bloccata a causa di un’errata configurazione nell’ambiente client.
L’e-mail fasulla di DocuSign include un collegamento “Revisione documento”, che indirizza la vittima a un server controllato da un utente malintenzionato (questo si trovava a Singapore). Dopo aver fatto clic sul collegamento dannoso, viene chiesto di accedere al proprio account Microsoft utilizzando il nome utente e la password sul dispositivo di autenticazione a più fattori per autorizzare l’accesso.
In realtà, il nome utente e la password erano stati raccolti dal server e inviati a Microsoft, generando la richiesta di autorizzazione MFA che è stata accettata, registrando l’utente e generando un cookie di sessione che al suo ritorno dai server Microsoft è stato intercettato e utilizzato dai malintenzionati.
