Uma nova plataforma de phishing como serviço (PhaaS), chamada Mamba 2FA, foi identificada realizando ataques direcionados a contas do Microsoft 365 por meio de técnicas de adversário-no-meio (AiTM), utilizando páginas de login meticulosamente elaboradas para enganar os usuários.
O Mamba 2FA oferece aos criminosos cibernéticos uma solução avançada para capturar tokens de autenticação, burlando os sistemas de autenticação multifator (MFA) e permitindo o acesso não autorizado às contas das vítimas.
Atualmente, o serviço é comercializado no submundo cibernético por um valor de US$ 250/mês, tornando-se uma opção atraente e competitiva entre as plataformas de phishing mais populares e em rápida expansão.
A primeira documentação sobre o Mamba 2FA foi feita por analistas da Any.Run no final de junho de 2024, mas a plataforma já era monitorada pela Sekoia desde maio de 2024. Outras evidências indicam que o Mamba 2FA tem sido usado em campanhas de phishing desde novembro de 2023, com o kit inicialmente disponível no ICQ e, mais tarde, no Telegram.
Após o relatório da Any.Run sobre uma campanha apoiada pelo Mamba 2FA, os operadores rapidamente implementaram mudanças em sua infraestrutura e métodos para aumentar a furtividade e a duração das campanhas.
Por exemplo, em outubro de 2024, o Mamba 2FA começou a utilizar servidores proxy fornecidos pelo provedor IPRoyal para mascarar os endereços IP de seus servidores de retransmissão nos logs de autenticação, dificultando a detecção e o bloqueio pelos sistemas de segurança.
Além disso, os domínios de phishing usados nas URLs passaram a ter uma vida útil muito curta, sendo rotacionados semanalmente para evitar o bloqueio por soluções de segurança. Outra mudança importante foi o aprimoramento dos anexos HTML nas campanhas, que agora incluem conteúdo benigno disfarçado, ocultando pequenos trechos de código JavaScript que acionam o ataque, tornando mais difícil a detecção por ferramentas de segurança.
O Mamba 2FA foi projetado especificamente para atacar usuários do Microsoft 365, tanto em contas corporativas quanto de consumidores individuais. Como outras plataformas PhaaS, ele utiliza relés de proxy para realizar ataques AiTM, possibilitando o roubo de senhas de uso único e cookies de autenticação.
O mecanismo AiTM da plataforma utiliza a biblioteca JavaScript Socket.IO para criar uma ponte de comunicação entre a página de phishing e os servidores de retransmissão no backend, que, por sua vez, interagem com os servidores da Microsoft utilizando os dados roubados.
O Mamba 2FA oferece uma ampla gama de modelos de phishing que imitam serviços do Microsoft 365, como OneDrive, SharePoint Online, além de páginas de login genéricas da Microsoft e falsas notificações de correio de voz, que redirecionam as vítimas para páginas falsas de login.
Visão geral operacional do Mamba 2FA
Fonte: Sekoia
No caso de contas corporativas, as páginas de phishing adaptam-se dinamicamente à marca personalizada de login da organização-alvo, exibindo logotipos e imagens de fundo, o que aumenta o grau de realismo do ataque. As credenciais capturadas e os cookies de autenticação são enviados diretamente aos atacantes via bot no Telegram, permitindo que eles iniciem sessões imediatamente após a coleta das informações.
O Mamba 2FA também conta com detecção de sandbox, redirecionando potenciais analistas para páginas 404 do Google ao identificar que está sendo examinado.
Modelos de phishing usados em ataques Mamba 2FA
Fonte: Sekoia
A crescente sofisticação da plataforma Mamba 2FA representa uma ameaça significativa para organizações e usuários individuais, capacitando criminosos com menos habilidades técnicas a realizar ataques de phishing altamente eficazes.
Para mitigar riscos associados a ataques AiTM e plataformas PhaaS, recomenda-se a adoção de medidas como o uso de chaves de segurança físicas, autenticação baseada em certificado, bloqueio geográfico, listas de permissões de IP e dispositivos, além de reduzir a vida útil dos tokens de autenticação.
Via - BC
Comments