SessionShark, così il phishing supera l’autenticazione a più fattori di Office 365

Negli ultimi anni, l’autenticazione a più fattori (MFA) è diventata uno dei pilastri fondamentali per la sicurezza degli account digitali, soprattutto nelle aziende che utilizzano servizi cloud come Microsoft Office 365.

Tuttavia, un nuovo kit PaaS (Phishing as a Service) chiamato SessionShark, scoperto e analizzato da SlashNext, sta mettendo in discussione l’efficacia di queste difese avanzate.

“I creatori di SessionShark pubblicizzano una gamma di funzionalità anti-rilevamento e stealth pensate per massimizzare il successo delle loro campagne di phishing”, commenta il ricercatore di sicurezza Daniele Kelley nel suo rapporto.

Tra le funzionalità di SessionShark figurano la compatibilità con Cloudflare, per mascherare il server di hosting effettivo del kit, tecnologie antibot e anticrawler, per eludere il rilevamento egli di scanner di sicurezza automatici e la capacità di implementare schermate di accesso Microsoft molto verosimili.

SessionShark, come funziona l’attacco

SessionShark è un kit di phishing di tipo AiTM (Adversary-in-the-Middle) offerto in abbonamento come servizio e progettato per rubare i token di sessione generati dopo che un utente ha effettuato correttamente l’accesso con MFA.

Una volta ottenuti questi token, i cyber criminali possono pertanto accedere all’account della vittima senza dover superare nuovamente i controlli di autenticazione a più fattori.

In altre parole, anche se una persona ha effettuato un login sicuro, i criminali informatici possono bypassare tutte le difese grazie a una semplice copia del token di una sessione utente attiva, dirottando di fatto la sessione di autenticazione.

SessionShark creerebbe delle false pagine, che imitano l’interfaccia di accesso di Office 365 e che si interpongono alla pagina di accesso ufficiale di Microsoft tramite un server proxy.

Pertanto, quando gli utenti inseriscono le credenziali account, il servizio nascosto sarebbe in grado di intercettare indirizzi e-mail, password e cookie di sessione e di inviarli in tempo reale agli attaccanti tramite Telegram, permettendo loro di accedere agli account senza essere scoperti ma impersonando l’utente legittimo.

In pratica, una volta ottenuto un cookie di sessione, già validato dal multi-fattore, gli attaccanti non devono far altro che usare tale cookie su un proprio browser e ottenere l’accesso all’account Office 365 target.

Come difendersi da questa tecnica di phishing

Questi attacchi sono difficili da rilevare, perché non comportano un nuovo login sospetto o un fallimento MFA.

Dal punto di vista della sicurezza IT, sembra tutto perfettamente normale, e rappresentano un’evoluzione pericolosa nel panorama delle minacce informatiche in quanto:

1. elude l’MFA, uno degli standard di sicurezza più adottati;
2. sfrutta i token di sessione, che vengono raramente invalidati o monitorati in tempo reale.

Sebbene questo tipo di attacco sia sofisticato, esistono comunque delle misure preventive che possono aiutare a proteggere i propri sistemi:

1. Utilizzare un’autenticazione MFA resistente al phishing: Soluzioni come FIDO2, chiavi hardware e token basati su challenge criptografici sono molto più sicuri rispetto ai codici SMS o alle app OTP tradizionali.
2. Implementare una politica di gestione dei token di sessione: Ridurre la durata dei token, invalidarli in caso di sospette anomalie e implementare meccanismi di rotazione.
3. Formare i dipendenti: Sensibilizzare gli utenti resta sempre uno dei modi più efficaci per prevenire infezioni malware e campagne di phishing.

Phishing as a Service, una tendenza in crescita

La comparsa di SessionShark dimostra come anche le migliori soluzioni di sicurezza debbano essere continuamente aggiornate e integrate con un approccio difensivo multilivello.

L’MFA va rafforzato con tecnologie più moderne, pratiche di sicurezza aggiornate e un’attenta vigilanza sugli accessi.

“Uno degli aspetti più interessanti di SessionShark è il modo in cui viene commercializzato, che rispecchia le legittime tattiche di vendita di software. Il linguaggio utilizzato cerca di legittimare lo strumento presentandolo come un prodotto di “hacking etico” o educativo, mentre allo stesso tempo pubblicizza funzionalità chiaramente destinate ad abusi illeciti”, continua Kelley e conclude, “Questo approccio di tipo phishing kit-as-a-service indica una tendenza più ampia nell’ecosistema della criminalità informatica: gli autori delle minacce confezionano e vendono i loro strumenti tenendo conto dell’esperienza utente e della scalabilità.”.