Gli attori delle minacce hanno utilizzato EvilProxy, uno strumento di phishing basato su un’architettura di reverse proxy, che consente di rubare credenziali protette da MFA e cookie di sessione. Questa minaccia in aumento combina sofisticato phishing Adversary-in-the-Middle con metodi avanzati di acquisizione degli account, in risposta alla crescente adozione dell’autenticazione multi-fattore da parte delle aziende
L’uso dell’autenticazione a più fattori (MFA) è aumentato negli ultimi anni ma, contrariamente a quanto si potrebbe prevedere, si è registrato un incremento dei takeover di account tra i tenant dotati di questa misura di protezione. In base ai dati di Proofpoint, almeno il 35% di tutti gli utenti compromessi nell’ultimo anno aveva abilitato l’MFA.
I cybercriminali stanno perfezionando i loro metodi per compromettere gli account, tra cui ne spicca uno particolarmente efficace: viene utilizzata una nuova automazione avanzata per determinare con precisione in tempo reale se un utente vittima di phishing abbia un profilo di alto livello, e quindi puntare a ottenere immediatamente l’accesso a questo account, ignorando quelli meno redditizi.
“Le credenziali dei dipendenti sono molto apprezzate dagli attori delle minacce, in quanto possono offrire accesso a informazioni aziendali e account preziosi o sensibili. Sebbene le credenziali rubate offrano una moltitudine di vettori di attacco per i criminali informatici, non sono tutte uguali,” sottolineano i ricercatori cloud di Proofpoint. “Come dimostra la nostra ricerca, gli attori delle minacce spesso prendono di mira funzioni o reparti specifici con metodi e tecniche che devono evolversi costantemente, ad esempio trovando il modo di aggirare l’autenticazione a più fattori. Contrariamente a quanto si crede, nemmeno l’MFA è una difesa dalle minacce sofisticate basate su cloud. Una volta entrati, i malintenzionati possono nascondersi senza essere individuati in azienda e sferrare attacchi sofisticati a loro piacimento. I kit di phishing per il bypass dell’MFA stanno diventando onnipresenti, consentendo anche a criminali non tecnici di organizzare una campagna di phishing e indurre i dipendenti a consegnare i dati del proprio account.”