Säkerhetsforskare från ThreatLabz har avslöjat en ny stam i en storskalig phising-kampanj med hjälp av ”adversary-in-the-middle”-tekniker (AiTM) tillsammans med flera ”undanflyktstaktiker”. Enligt rådgivning som publicerades av företaget i Tisdags användes liknande AiTM-phisingtekniker i en separat phising-kampanj som beskrevs av Microsoft förra månaden. Nu avslöjade ThreatLabz att med hjälp av intelligens som samlats in från Zscaler-molnet, observerades en ökning av avancerade phising-kit i en i juni.
Säkerhetsföretaget förklarade att den nya kampanjen skilde sig från ”vanliga” phisingattacker pga. ett par anledningar.
- För det första, precis som kampanjen som upptäcktes av Microsoft, använde den AiTM för att kringgå multifaktorautentisering (MFA).
- För det andra använde de flera undanflyktstekniker i olika stadier av attacken, utformade för att kringgå typiska e-postsäkerhets- och nätverkssäkerhetslösningar.
Faktum är att, baserat på data som analyserats av ThreatLabz, tror företaget att kampanjen är speciellt utformad för att nå slutanvändare i företag som använder Microsofts e-posttjänster.
”Business email compromise (BEC) fortsätter att vara ett ständigt närvarande hot mot organisationer och den här kampanjen understryker ytterligare behovet av att skydda mot sådana attacker”, löd råden.
Enligt ThreatLabz börjar alla dessa phisingattacker med ett e-postmeddelande som skickas till offret med en skadlig länk ofta dolt i något som ser ut som ett vanligt brev från en betrodd avsändare, och kampanjen är aktiv i skrivande stund, med nya phisingdomäner som registreras nästan varje dag.
”Baserat på vår molndatatelemetri var majoriteten av de riktade organisationerna inom fintech-, utlånings-, finans-, försäkrings-, redovisnings-, energi- och federala kreditföreningsindustrier,” sa ThreatLabz.
Dessutom sa företaget att de flesta av de riktade organisationerna var belägna i USA, Storbritannien, Nya Zeeland och Australien men det är även väldigt stor aktivitet i Norra Europa däribland Svenska företag. För att skydda mot dessa attacker sa ThreatLabz att multifaktorautentisering (MFA) ska användas, men inte betraktas som en silverkula.
”Med användning av avancerade phishing-kit (AiTM) och smarta undandragningstekniker kan hotaktörer kringgå både traditionella och avancerade säkerhetslösningar.”
Som en extra försiktighetsåtgärd förklarade ThreatLabz att användare inte bör öppna bilagor eller klicka på länkar i e-postmeddelanden som skickas från opålitliga eller okända källor, viktigt är att kontrollera var mailet är ifrån även om det ser betrott ut och ser ut att komma från din vanliga bank eller annan känd avsändare. Som en bästa praxis bör användare i allmänhet verifiera webbadressen i webbläsarens adressfält innan de anger några autentiseringsuppgifter.
Vid frågor om hur man bäst säkrar upp sin IT-Miljö bör man kontakta en säkerhetstekniker hos sin IT-leverantör och inte en säljare.