Vanaf juni 2022 zag Zscaler’s ThreatLabz een toename van het aantal adversary-in-the-middle (AitM) phishing-aanvallen gericht op zakelijke gebruikers van Microsoft en Gmail. De campagne was met name gericht op chief executives en andere senior leden van de C-suite.
Door het gebruik van AitM-aanvalstechnieken konden aanvallers onder meer de multi-factor authenticatie van Gmail omzeilen. Daarnaast werden er verschillende technieken gebruikt in verschillende stadia van de aanval om conventionele e-mailbeveiligings- en netwerkbeveiligingsoplossingen te omzeilen.
De aanvalsketen
De aanval begint wanneer een gebruiker een e-mail ontvangt met een kwaadaardige link. Deze link maakt gebruik van meerdere omleidingen en maakt misbruik van Open Redirect-pagina’s om de gebruiker op een door de aanvaller gecontroleerd phishingdomein te laten belanden. Voordat de phishing-pagina getoond wordt, voert de server een fingerprint-check uit op de client om er zeker van te zijn dat het een echte gebruiker betreft en geen geautomatiseerd analysesysteem.
Tijdens deze aanvallen zijn er een aantal interessante domeinnaampatronen ontdekt. Er werden veelal domeinnamen gebruikt met betrekking tot “wachtwoord opnieuw instellen” en “wachtwoord verlopen”-herinneringen. Dit zou erop kunnen wijzen dat het thema van de bijbehorende phishing-mails ook te maken had met herinneringen voor het opnieuw instellen van een wachtwoord.
ThreatLabz heeft beperkt zicht op de inhoud van de e-mails die werden gebruikt om de phishing URL’s te verspreiden, maar in sommige gevallen werden kwaadaardige links rechtstreeks in de hoofdtekst van de e-mail gezet. In andere e-mails was de link aanwezig in het HTML-bestand dat bij de e-mail was gevoegd. De phishing-sites werden vervolgens afgeleverd, doorgestuurd en gehost via verschillende methoden.
Daarnaast maakt deze campagne gebruik van een client fingerprint-proces. Het doel van dit proces is om informatie uit de browser van de client te verzamelen om de site te helpen bepalen of de persoon achter de browser een nietsvermoedend slachtoffer is, of een ongewenste analist of geautomatiseerde bot. Het script verzamelt vervolgens informatie over het besturingssysteem van de client, de schermafmetingen en de tijdzone en stuurt de bevindingen naar de site via WebSocket-verkeer. Met de informatie komt de site tot een oordeel of het de client moet blijven binnenhalen of dat het doelwit moet worden verwijderd door deze om te leiden naar de startpagina van Google.
Met de gestolen informatie kan de aanvaller vervolgens inloggen op het account van de gebruiker. Dit wordt echter vaak tegengehouden doordat de gebruiker multi-factor authenticatie heeft ingeschakeld. Om dit te omzeilen, maken deze aanvallers gebruik van AitM phishing-aanvallen. AitM-aanvallen voltooien het authenticatieproces met de server van de e-mailprovider (Microsoft of Gmail). Ze bereiken dit door op te treden als een MiTM-proxy en alle communicatie tussen de client (slachtoffer) en de server (mailprovider) door te geven.
Conclusie
Het is belangrijk om te begrijpen dat dergelijke aanvallen niet beperkt zijn tot alleen zakelijke gebruikers van Microsoft en Gmail. Een aanvaller kan met deze methode de multi-factor authenticatie op veel verschillende servers omzeilen. Hoewel dergelijke beveiligingsfuncties een extra beveiligingslaag toevoegen, mogen ze niet worden beschouwd als een wondermiddel om organisaties te beschermen tegen phishing-aanvallen. Met behulp van geavanceerde phishing-kits (AitM) en slimme ontwijkingstechnieken kunnen aanvallers veel beveiligingsoplossingen ontwijken.
Als extra voorzorgsmaatregel moeten organisaties hun medewerkers informeren en trainen op het niet openen van bijlagen of het klikken op links die afkomstig zijn van niet-vertrouwde of onbekende bronnen. Daarnaast is het een best practice om de URL in de adresbalk van de browser te verifiëren voordat inloggegevens worden ingevoerd.
