Microsoft warnt vor einer Zunahme von Adversary-in-the-Middle (AiTM) Phishing-Techniken, die als Teil des Phishing-as-a-Service (PhaaS) Cybercrime-Modells verbreitet werden.

Zusätzlich zu einem Anstieg von AiTM-fähigen PhaaS-Plattformen stellte der Technologieriese fest, dass bestehende Phishing-Dienste wie PerSwaysion AiTM-Fähigkeiten integrieren.

„Diese Entwicklung im PhaaS-Ökosystem ermöglicht es Angreifern, hochvolumige Phishing-Kampagnen durchzuführen, die versuchen, MFA-Schutzmaßnahmen im großen Maßstab zu umgehen“, so das Microsoft Threat Intelligence-Team in einer Reihe von Beiträgen auf X (ehemals Twitter).

Cybersicherheit Phishing-Kits mit AiTM-Fähigkeiten arbeiten auf zwei Arten, von denen eine den Einsatz von Reverse Proxy-Servern betrifft (d. h. die Phishing-Seite), um den Datenverkehr zwischen dem Client und der legitimen Website umzuleiten und heimlich Benutzeranmeldeinformationen, Zwei-Faktor-Authentifizierungscodes und Sitzungscookies zu erfassen.

Eine zweite Methode umfasst synchrone Relay-Server.

„Bei AiTM über synchrone Relay-Server wird dem Ziel eine Kopie oder Nachahmung einer Anmeldeseite präsentiert, ähnlich wie bei traditionellen Phishing-Angriffen“, sagte Microsoft. „Storm-1295, die Akteursgruppe hinter der Greatness PhaaS-Plattform, bietet anderen Angreifern synchrone Relay-Dienste an.“

Greatness wurde erstmals im Mai 2023 von Cisco Talos dokumentiert. Es handelt sich um einen Dienst, mit dem Cyberkriminelle Geschäftsanwender des Microsoft 365-Cloud-Dienstes ins Visier nehmen können, indem sie überzeugende Lockvogel- und Anmeldeseiten verwenden. Es soll mindestens seit Mitte 2022 aktiv sein.

Das ultimative Ziel solcher Angriffe ist es, Sitzungscookies abzuzapfen, um Bedrohungsakteuren den Zugriff auf privilegierte Systeme ohne erneute Authentifizierung zu ermöglichen.

„Die Umgehung von MFA ist das Ziel, das Angreifer motiviert hat, AiTM-Techniken zum Diebstahl von Sitzungscookies zu entwickeln“, betonte der Technologieriese. „Im Gegensatz zu traditionellen Phishing-Angriffen erfordern Incident-Response-Verfahren für AiTM die Aufhebung gestohlener Sitzungscookies.“