Desde hace algún tiempo Microsoft está advirtiendo sobre la peligrosidad de la técnica de ciberataque denominada AiTM o adversary-in-the-middle (adversario en el medio). Ahora alertan de que esta técnica está proliferando a través del modelo del phishing-as-a-service (phishing como servicio), que también está en auge debido a un aumento de las plataformas.
El phishing como servicio es un tipo de ciberdelincuencia profesionalizada en la que los delincuentes venden a terceros servicios de phishing, normalmente a través de una plataforma “fácil de usar”, que no requiere complejos conocimientos técnicos.
“Las técnicas de phishing del adversario en el medio (AiTM) siguen proliferando a través del modelo de ciberdelincuencia de phishing como servicio (PhaaS), como se ve en el creciente número de plataformas PhaaS capaces de desarrollar AiTM durante 2023”. Explica la división de amenazas de la compañía en X (Twitter).
Adversary-in-the-middle (AiTM) phishing techniques continue to proliferate through the phishing-as-a-service (PhaaS) cybercrime model, as seen in the increasing number of-AiTM capable PhaaS platforms throughout 2023.
— Microsoft Threat Intelligence (@MsftSecIntel) August 28, 2023
¿Qué es AiTM y cómo funciona?
La mayoría de los servicios web implementan una sesión con un usuario después de autenticarse con éxito, para que el usuario no tenga que autenticarse en cada nueva página que visita, explica la compañía.
Esta funcionalidad de sesión se implementa a través de una cookie de sesión proporcionada por un servicio de autenticación después de la autenticación inicial. La cookie de sesión es una prueba para el servidor web de que el usuario ha sido autenticado y tiene una sesión en curso en el sitio web.
En el phishing AiTM, un atacante intenta obtener la cookie de sesión de un usuario para poder saltarse todo el proceso de autenticación y actuar en su nombre.
Para ello, el atacante despliega un servidor web que proxy los paquetes HTTP desde el usuario que visita el sitio de phishing hasta el servidor objetivo que el atacante desea suplantar y viceversa. De esta forma, el sitio de phishing es visualmente idéntico al sitio web original (ya que todos los HTTP se proxyan hacia y desde el sitio web original). El atacante tampoco necesita crear su propio sitio de phishing como se hace en las campañas de phishing convencionales. La URL es la única diferencia visible entre el sitio de phishing y el real.
Se trata de un tipo de phishing sobre el cual Microsoft dio la voz de alerta el año pasado. A través de esta técnica, los atacantes son capaces de robar contraseñas o información de inicio de sesión para luego acceder a los correos electrónicos de las víctimas y llevar a cabo otros ciberataques, como el BEC (Business Email Compromise), suplantando la identidad de la víctima.
Como se hace eco The Hacker News, el objetivo de este tipo de ataques es desviar las cookies de sesión, lo que permite a los agresores acceder a sistemas privilegiados sin tener que volver a autenticarse.
«Eludir la MFA es el objetivo que motivó a los atacantes a desarrollar técnicas de robo de cookies de sesión AiTM», explica Microsoft. «A diferencia de los ataques de phishing tradicionales, los procedimientos de respuesta a incidentes para AiTM requieren la revocación de las cookies de sesión robadas».
