Campania de phishing a serviciului de asistență tehnică vizează serviciul Active Directory Federation Services (ADFS) al unei organizații folosind pagini de login spoofate pentru a fura credențiale și a evita protecțiile de autentificare multi-factor (MFA).
Țintele acestei campanii, conform Abnormal Security care a descoperit-o, sunt în principal organizații din domeniul educației, sănătății și guvernamentale, cu atacul vizând cel puțin 150 de ținte.
Aceste atacuri își propun să obțină acces la conturile de email corporative pentru a trimite emailuri către victime suplimentare din cadrul organizației sau pentru a efectua atacuri motivate financiar, cum ar fi compromiterea prin email de afaceri (BEC), în care plățile sunt redirecționate către conturile actorilor amenințării.
Active Directory Federation Services (ADFS) Microsoft este un sistem de autentificare care permite utilizatorilor să se autentifice o singură dată și să acceseze mai multe aplicații și servicii fără a-și introduce credențialele repetat.
Este folosit în mod obișnuit în organizații mari pentru a oferi autentificare unică (SSO) în aplicații interne și bazate pe cloud.
Atacatorii trimit emailuri către ținte impersonând echipa lor IT, cerându-le să se autentifice pentru a-și actualiza setările de securitate sau a accepta politici noi.
Făcând clic pe butonul încorporat, victimele sunt directionate către un site de phishing care arată exact ca pagina de autentificare ADFS reală a organizației lor.
Pagina de phishing îi solicită victimei să introducă numele de utilizator, parola și codul MFA sau îi înșeală pentru a aproba notificarea push.
„Șabloanele de phishing includ, de asemenea, formulare concepute pentru a captura factorul secundar specific necesar pentru autentificarea contului țintei, în funcție de setările MFA configurate ale organizațiilor,” se arată în raportul Abnormal Security.
„Abnormal a observat șabloane care vizează multiple mecanisme MFA folosite în mod obișnuit, inclusiv Microsoft Authenticator, Duo Security și verificare prin SMS.”
Odată ce victimă furnizează toate detaliile, aceasta este redirecționată către pagina legitimă de conectare pentru a reduce suspiciunea și a face să pară că procesul a fost finalizat cu succes.
Între timp, atacatorii folosesc imediat informațiile furate pentru a se conecta la contul victimei, a fura orice date valoroase, a crea noi reguli de filtrare a emailurilor și a încerca phishing lateral.
Abnormal spune că atacatorii din această campanie au folosit Private Internet Access VPN pentru a-și masca locația și a atribui o adresă IP cu o proximitate mai bună față de organizație.
Chiar dacă aceste atacuri de phishing nu încalcă direct ADFS și se bazează mai degrabă pe inginerie socială pentru a funcționa, tactica este totuși remarcabilă pentru eficacitatea sa potențială, având în vedere încrederea inherentă pe care mulți utilizatori o au în fluxurile de autentificare familiare.
Abnormal sugerează ca organizațiile să migreze către soluții moderne și mai sigure cum ar fi Microsoft Entra și să introducă filtre suplimentare de email și mecanisme de detectare a activității anormale pentru a opri atacurile de phishing devreme.
Leave a Reply