DEV-1101 AiTM网络钓鱼工具包助长了大规模网络钓鱼活动

微软警告称，网络犯罪生态系统中使用开源的中间人攻击 (AiTM) 网络钓鱼工具包会引发大规模网络钓鱼攻击

Adversary-in-the-middle(AiTM)网络钓鱼工具包正在成为网络犯罪生态系统中的一项重要技术，多个威胁行为者使用它来发起网络钓鱼攻击。AiTM 网络钓鱼允许威胁参与者通过反向代理功能规避多因素身份验证 (MFA)。

在AiTM网络钓鱼中，威胁行为者在目标用户和用户希望访问的网站之间设置代理服务器，这就是攻击者控制下的网络钓鱼站点。代理服务器允许攻击者访问流量并捕获目标的密码和会话cookie。 

微软目前正在追踪一个名为DEV-1101的威胁行为者，他正在为数个AiTM网络钓鱼工具包提供开发、支持和广告，这些工具包可在地下网络犯罪中出售或出租。

自2022年5月起，DEV-1101提供了一个开源工具包，可以自动设置和发起复杂的网络钓鱼攻击。网络钓鱼工具包在2022年不断得到增强，威胁参与者增加了管理来自移动设备的活动的能力和规避功能，例如CAPTCHA页面。

从2022年7月到2022年12月，由于该工具在网络犯罪生态系统中的受欢迎程度迅速增长，该工具的价格上涨了数倍。截至撰写本文时，该攻击者以300美元的价格提供该工具，VIP许可证的价格为1,000美元。在2023年1月1日之前，旧版用户可以继续以200美元的价格购买许可证。

该工具包提供模仿流行服务（包括Microsoft Office或Outlook）的网络钓鱼页面。

Microsoft警告通过此网络钓鱼工具包策划的大规模活动，每天使用此工具包发送数百万封网络钓鱼电子邮件。

“微软使用DEV-1101提供的工具观察到来自不同参与者的几次高容量网络钓鱼活动，每天包含数百万封网络钓鱼电子邮件。DEV-0928 是微软自2022年9月以来一直追踪的演员，是DEV-1101最重要的赞助人之一，据观察发起了一场涉及超过一百万封电子邮件的网络钓鱼活动。”

该报告包括一些通过DEV-1101网络钓鱼工具包策划的活动示例，例如由跟踪为DEV-0928的威胁参与者发起的活动案例。

AiTM网络钓鱼攻击链从包含PDF文档链接的文档主题电子邮件开始。单击该链接后，收件人将被定向到一个伪装成Microsoft登录门户的登录页面。但在敦促受害者完成验证码步骤之前。

“该工具包还允许威胁行为者使用CAPTCHA来逃避检测。将CAPTCHA页面插入网络钓鱼序列可能会使自动化系统更难以到达最终的网络钓鱼页面，而人类可以轻松点击进入下一页。”

微软敦促组织采用不能被报告中描述的网络钓鱼攻击绕过的身份验证方法。推荐的身份验证方法包括使用FIDO2安全密钥、Microsoft Authenticator和基于证书的身份验证。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4946.html