Les acteurs de la menace utilisent la nouvelle plate-forme de phishing en tant que service Mamba 2FA pour compromettre les comptes Microsoft 365 lors d'intrusions d'un adversaire du milieu.
Threat actors are now using the Mamba 2FA phishing-as-a-service platform to compromise Microsoft 365 accounts in adversary-in-the-middle (AiTM) attacks, BleepingComputer reports. Mamba 2FA's AiTM attacks against Microsoft 365 accounts are enabled by proxy relays and the Socket.IO JavaScript library, which allows for one-time passcode and authentication cookie access and communications between Microsoft 365 service phishing pages and relay servers, respectively, according to a report from Sekoia. The attackers then use a Telegram bot to enable transmission of stolen credentials and authentication cookies, Sekoia researchers found. They also noted improvements in Mamba 2FA since it was first reported by Any.Run in June. These enhancements include Mamba 2FA's use of IPRoyal proxy servers, regularly rotated phishing URLs, and benign content on HTML attachments to better conceal malicious activity. The findings should prompt organizations to bolster their defenses against AiTM intrusions launched by PhaaS operations by implementing certificate-based authentication, geo-blocking, hardware security keys, device allowlisting, IP allowlisting, and reduced token lifespans.
Les acteurs malveillants utilisent désormais la plate-forme de phishing en tant que service Mamba 2FA pour compromettre les comptes Microsoft 365 lors d'attaques d'adversaire au milieu (AiTM), rapporte BleepingComputer. Les attaques AiTM de Mamba 2FA contre les comptes Microsoft 365 sont activées par des relais proxy et la bibliothèque JavaScript Socket.IO, qui permettent respectivement l'accès par code d'accès et aux cookies d'authentification et les communications entre les pages de phishing du service Microsoft 365 et les serveurs relais, respectivement, selon un rapport. de Sékoia. Les attaquants utilisent ensuite un robot Telegram pour permettre la transmission d'identifiants volés et de cookies d'authentification, ont découvert les chercheurs de Sekoia. Ils ont également noté des améliorations dans Mamba 2FA depuis qu'il a été signalé pour la première fois par Any.Run en juin. Ces améliorations incluent l'utilisation par Mamba 2FA de serveurs proxy IPRoyal, des URL de phishing en rotation régulière et du contenu inoffensif sur les pièces jointes HTML pour mieux dissimuler les activités malveillantes. Les résultats devraient inciter les organisations à renforcer leurs défenses contre les intrusions AiTM lancées par les opérations PhaaS en mettant en œuvre une authentification basée sur des certificats, un blocage géographique, des clés de sécurité matérielles, une liste d'autorisation d'appareils, une liste d'autorisation IP et une durée de vie réduite des jetons.
Clause de non-responsabilité:info@kdj.com
Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!
Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.
