Une plate-forme émergente de phishing en tant que service (PhaaS) appelée Mamba 2FA a été observée ciblant les comptes Microsoft 365 dans des attaques AiTM utilisant des pages de connexion bien conçues.
De plus, Mamba 2FA offre aux acteurs de la menace un mécanisme d’adversaire au milieu (AiTM) pour capturer les jetons d’authentification de la victime et contourner les protections d’authentification multifacteur (MFA) sur leurs comptes.
Mamba 2FA est actuellement vendu aux cybercriminels pour 250/ / mois, ce qui est un prix compétitif qui le positionne parmi les plateformes de phishing les plus séduisantes et à la croissance la plus rapide du secteur.
Découverte et évolution
Mamba 2FA a été documenté pour la première fois par Any.Exécutez des analystes fin juin 2024, mais Sekoia rapporte qu’il suit l’activité liée à la plateforme de phishing depuis mai 2024.
Des preuves supplémentaires montrent que Mamba 2FA soutient des campagnes de phishing depuis novembre 2023, le kit étant vendu sur ICQ et plus tard sur Telegram.
Suivant Tout.Le rapport de Run sur une campagne soutenue par Mamba 2FA, les opérateurs du kit de phishing ont apporté plusieurs modifications à leur infrastructure et à leurs méthodes pour augmenter la furtivité et la longévité des campagnes de phishing.
Par exemple, à partir d’octobre, Mamba 2FA a introduit des serveurs proxy provenant d’IPRoyal, un fournisseur commercial, pour masquer les adresses IP des serveurs relais dans les journaux d’authentification.
Auparavant, les serveurs relais se connectaient directement aux serveurs d’ID Microsoft Entra, exposant les adresses IP et facilitant les blocages.
Les domaines de liens utilisés dans les URL de phishing sont désormais de très courte durée et tournent généralement chaque semaine pour éviter le blocage par les solutions de sécurité.
Un autre changement consistait à améliorer les pièces jointes HTML utilisées dans les campagnes de phishing avec un contenu de remplissage bénin pour masquer un petit extrait de JavaScript qui déclenche l’attaque, ce qui rend la détection plus difficile pour les outils de sécurité.
« Mordre » les utilisateurs de Microsoft 365
Mamba 2FA est spécialement conçu pour cibler les utilisateurs des services Microsoft 365, y compris les comptes d’entreprise et les comptes grand public.
Comme d’autres plates-formes PhaaS similaires, il utilise des relais proxy pour mener des attaques de phishing AiTM, permettant aux acteurs de la menace d’accéder à des codes d’accès uniques et à des cookies d’authentification.
Le mécanisme AiTM utilise le Socket.IO Bibliothèque JavaScript pour établir la communication entre la page de phishing et les serveurs relais du backend, qui à leur tour communiquent avec les serveurs de Microsoft en utilisant les données volées.
Mamba 2FA propose des modèles d’hameçonnage pour divers services Microsoft 365, notamment OneDrive, SharePoint Online, des pages de connexion Microsoft génériques et de fausses notifications de messagerie vocale qui redirigent vers une page de connexion Microsoft.
Pour les comptes d’entreprise, les pages de phishing assument dynamiquement la marque de connexion personnalisée de l’organisation ciblée, y compris les logos et les images d’arrière-plan, ce qui rend la tentative plus authentique.
Les informations d’identification capturées et les cookies d’authentification sont transmis à l’attaquant via un bot Telegram, lui permettant d’initier une session immédiatement.
Mamba 2FA propose également une détection de bac à sable, redirigeant les utilisateurs vers les pages Web Google 404 lorsqu’il déduit qu’il est en cours d’analyse.
Dans l’ensemble, la plate-forme Mamba 2FA constitue une autre menace pour les organisations, permettant à des acteurs peu qualifiés d’effectuer des attaques de phishing très efficaces.
Pour vous protéger contre les opérations de phase utilisant des tactiques AiTM, envisagez d’utiliser des clés de sécurité matérielles, une authentification basée sur des certificats, un blocage géographique, une liste d’autorisations IP, une liste d’autorisations d’appareils et une réduction de la durée de vie des jetons.