Microsoft advirtió sobre la existencia de una campaña de phishing, desplegada a gran escala, que se sirve de una estrategia conocida como adversarios en el medio o AiTM, la cual se estima ha perjudicado a más de 10 mil organizaciones en un periodo que inicia desde septiembre del año pasado.
En ese sentido, AiTM posee una mecánica que le permite secuestrar la sesión de un usuario de manera que luego puedan usar sus credenciales y las cookies de sesión para ingresar en su correo electrónico y cometer fraude.
Bajo la estrategia AiTM, los sitios web de phishing son capaces de evadir la autenticación en los sitios web legítimos, aun y cuando el usuario haya activado la autenticación multifactor (MFA).
Esto último resulta preocupante tomando en cuenta que hasta el momento el MFA resultaba una medida de seguridad efectiva usada por las organizaciones para resguardarse de ataques phishing, así como del robo de credenciales.
Una vez que son desplegados, los ataques phishing AiTM utilizan un servidor proxy para interponerlo entre el objetivo y el sitio web legitimo al cual este intenta acceder, de manera que el atacante tome el lugar del sitio web en cuestión. Durante esta acción el MFA no sufre perturbación alguna, de modo que el atacante pueda hacer uso de la cookie robada para autenticarse y conectarse al sitio.
En los ataques descritos por Microsoft el sitio web phishing proxyaba la página de inicio de sesión de Azure Active Directory (Azure AD) del objetivo. Esto hacía que tras introducir las credenciales y autenticarse, el usuario fuera redirigido a la página legitima, momento que era aprovechado por el atacante para obtener las credenciales y autenticarse haciéndose pasar por el usuario.
De esa manera cuando el usuario ingresa en el sitio web phishing los paquetes HTTP que genera son capturados por el servidor web del atacante que luego son enviados a un servidor objetivo manejado también por este atacante, indicó WWWhatsNew.