Mastodon

MFA Sotto Attacco: Come i Kit di Phishing AiTM Sfruttano Servizi Legittimi per Compromettere le Aziende

da | Mag 4, 2025 | Cybersecurity, Informatica | 0 commenti

Nel panorama della sicurezza informatica, l’autenticazione a più fattori (MFA) è spesso considerata una barriera efficace contro gli accessi non autorizzati. Tuttavia, recenti indagini condotte dal Security Operations Center (SOC) di Darktrace hanno rivelato che anche la MFA può essere aggirata attraverso tecniche sofisticate come il phishing Adversary-in-the-Middle (AiTM), sfruttando servizi legittimi per mascherare attività malevole.

Cos’è un Attacco Adversary-in-the-Middle (AiTM)?

Gli attacchi AiTM rappresentano una forma avanzata di phishing in cui gli aggressori interpongono un server proxy tra l’utente e il sito web legittimo. Questo consente loro di intercettare in tempo reale le credenziali di accesso e i token di autenticazione, inclusi quelli generati da sistemi MFA. Una volta ottenuti questi dati, gli attaccanti possono accedere ai sistemi aziendali come se fossero utenti legittimi, eludendo le misure di sicurezza tradizionali.

L’Abuso di Servizi Legittimi: Il Caso di Milanote

Nel periodo tra la fine del 2024 e l’inizio del 2025, Darktrace ha identificato campagne di phishing che sfruttavano Milanote, un’applicazione per la collaborazione e la gestione di progetti, come veicolo per diffondere contenuti malevoli. Gli aggressori inviavano email apparentemente innocue attraverso Milanote, rendendo difficile per i sistemi di sicurezza distinguerle da comunicazioni legittime. Questo approccio aumenta la probabilità che gli utenti clicchino su link dannosi, facilitando l’esecuzione degli attacchi AiTM.

La campagna ha iniziato con una serie di email di phishing strutturate per sembrare comunicazioni autentiche. Queste email, apparentemente inviate da colleghi, facevano riferimento a un “nuovo accordo” e includevano un collegamento che portava la vittima a una pagina fraudolenta sulla piattaforma Milanote.

Le fasi comprendevano:

  • Utilizzo di piattaforme legittime: Milanote è stata sfruttata dagli attaccanti per rendere il contenuto delle email più convincente e confondere i destinatari.
  • Link di raccolta credenziali: Il collegamento incluso nelle email reindirizzava gli utenti a una pagina progettata per raccogliere informazioni sensibili come credenziali di accesso

Una volta compromessi, gli account hanno mostrato segnali chiari di manipolazione:

  • Creazione di regole di posta elettronica con nomi come “GFH” e “GVB” per eliminare tutte le email contenenti la parola “Milanote”.
  • Alterazione di allegati relativi a documenti importanti, come fatture, suggerendo un uso fraudolento delle comunicazioni aziendali.

Queste modifiche erano mirate a nascondere l’attività malevola e facilitare ulteriori operazioni fraudolente.

Darktrace ha risposto tempestivamente al rilevamento dell’attività anomala. Entro tre minuti dalla rilevazione del primo accesso sospetto, il sistema di Autonomous Response ha disabilitato l’account compromesso per due ore. Durante questo intervallo, il team di sicurezza dell’organizzazione ha adottato le seguenti misure:

  • Reset della password dell’utente compromesso.
  • Chiusura di tutte le sessioni SaaS attive.
  • Eliminazione delle regole di posta elettronica malevole.

Tycoon 2FA: Un Kit di Phishing AiTM Sofisticato

Uno degli strumenti utilizzati in queste campagne è Tycoon 2FA, un kit di phishing AiTM emerso per la prima volta nell’agosto 2023. Questo kit permette agli aggressori di creare pagine di login che imitano perfettamente quelle di servizi popolari come Microsoft 365. Quando un utente inserisce le proprie credenziali e il codice MFA, Tycoon 2FA intercetta queste informazioni in tempo reale, consentendo agli attaccanti di accedere immediatamente ai sistemi target.

Come Difendersi: Strategie e Tecnologie

Per contrastare efficacemente questi attacchi, è fondamentale adottare un approccio di “difesa in profondità”, che preveda l’implementazione di multiple misure di sicurezza complementari. Alcune delle strategie consigliate includono:

  • Utilizzo di MFA resistente al phishing: Tecnologie come FIDO2 e passkey offrono una maggiore protezione contro gli attacchi AiTM, poiché non si basano su codici OTP facilmente intercettabili.
  • Monitoraggio comportamentale: Soluzioni basate su intelligenza artificiale, come quelle offerte da Darktrace, possono rilevare anomalie nei comportamenti degli utenti, identificando accessi sospetti anche quando le credenziali sembrano legittime.
  • Educazione e consapevolezza: Formare i dipendenti a riconoscere tentativi di phishing e a segnalare attività sospette è cruciale per prevenire compromissioni.

Conclusione

Gli attacchi AiTM rappresentano una minaccia crescente per le aziende, dimostrando che la sola implementazione della MFA non è sufficiente a garantire la sicurezza. È essenziale adottare un approccio multilivello alla sicurezza informatica, combinando tecnologie avanzate, formazione del personale e monitoraggio continuo per proteggere efficacemente le risorse aziendali.

Maggiori informazioni su come Darktrace affronta questi attacchi sono disponibili qui: MFA Under Attack: AiTM Phishing Kits Abusing Legitimate Services.

Viaggio nel Selvaggio West: alla scoperta di Pullman City, la Westernstadt della Baviera
Viaggio Estremo a Nordkapp in Inverno in auto: Da Rovaniemi al Tetto d'Europa

Articoli simili:

  1. Supply chain attacks e cybersecurity nel 2022 In un recente articolo Justin Fier, Direttore di Cyber ​​Intelligence & Analytics di Darktrace, pone alcune considerazioni su ciò che potrà essere il trend degli attacchi e della sicurezza informatica nell’arco del 2022. Proviamo ad analizzare i punti principali. Supply Chain Tutti gli analisti del settore sono concordi nell’affermare che gli attacchi diretti alla Supply […]...
  2. Darktrace PREVENT – La gestione dell’Attack Surface Con l’uscita della release 6, Darktrace ha rilasciato il suo nuovo prodotto Darktrace PREVENT, dedicato alla gestione dell’Attack Surface, ovvero un monitoraggio continuo della superficie di attacco per individuare rischi, vulnerabilità ad alto impatto e minacce esterne. Gli aggressori oggi utilizzano più automazione, prendono di mira le supply chains e lo shadow IT e sfruttano […]...
  3. Darktrace rilascia la versione 6 dell’Enterprise Immune System Darktrace, società leader mondiale nell’intelligenza artificiale applicata alla cyber sicurezza e creatrice della tecnologia di risposta autonoma, ha da pochi giorni rilasciato la versione 6 del suo Enterprise Immune System. Vediamo insieme le principali novità introdotte con la nuova versione. Darktrace PREVENT™ Darktrace PREVENT è un insieme interconnesso di prodotti di intelligenza artificiale che forniscono […]...
  4. Cosa ci insegna il caso Augias e l’email di phishing di Enel Ieri, 30 gennaio 2021, nella sezione Commenti di Repubblica, Corrado Augias risponde ad una lettera di una lettrice citando la sua disavventura con Enel; in pratica la compagnia elettrica Italiana avrebbe inviato ad Augias una email per ottenere un rimborso di ca. 90 euro, email però piena di errori grammaticali e con una difficile procedura […]...
  5. Darktrace lancia la versione 5 dell’Immune System Darktrace, la principale azienda di cyber AI al mondo, é passata alla versione 5 del suo Darktrace Immune System, basato sulle tecnologie di auto-apprendimento e auto-difesa. La versione 5 dell’Immune System di Darktrace comprende numerose innovazioni: Visibilità estesa: i nuovi “sensori client” estendono la visibilità dell’Enterprise Immune System ai lavoratori remoti e decentralizzati, su client all’interno […]...
  6. Phishing Bilanciato Se da un lato il phishing Italiano di Banco Posta è arrivato a comunicare la vincita di 100 Euro, da incassare verificando le proprie credenziali di accesso in sito “fasullo”, dall’altro il phishing Svizzero ti minaccia di morte e ti chiede di versare 659 Franchi Svizzeri per non mettere in pratica le minacce. Ma dico… […]...

Commenta

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

Translate »