Quasi due anni fa, Microsoft annunciò che per la maggior protezione dei suoi account Exchange avrebbe aggiunto la autenticazione a due fattori obbligatoria, e ciò accadeva a seguito di ripetuti attacchi che miravano al furto di credenziali, notoriamente uno dei fattori più violati anche a causa di errori umani che non staremo oggi qui ad elencare. A poco a poco tutti gli account Microsoft 365 hanno avuto questa nuova modalità di accesso anche perché è sicuramente più efficace rispetto all’unico fattore utente-password che c’era in precedenza.
Sono passati molti mesi ma comunque non si arrestano i tentativi, sempre più sofisticati, per accedere agli account Microsoft, che come noto contengono una quantità smisurata di dati degli utenti e, in caso di profili istituzionali o aziendali, una serie di informazioni che non devono essere trafugate in nessun modo. Da qualche mese è stato osservato ad esempio questo malware rivenduto a coloro che vogliono proprio violare gli accessi Microsoft, chiamato Mamba 2FA, che fungerebbe da AiTM, ovvero Adversary in the Middle, che mira a rubare i token d’accesso alle pagine per poi rubare le credenziali e prendere possesso dei profili. La piattaforma funziona da PhaaS (Phishing as a Service), vale a dire che invia messaggi spam contenenti link fasulli e crea anche pagine molto simili alle originali dove gli utenti inseriranno le credenziali. Mamba 2FA è stato notato per la prima volta ancora prima dell’ultima estate, ma sembra che già da fine 2023 fosse attivo ed acquistabile tramite Telegram. Ovviamente in questi mesi l’intera struttura della piattaforma così come del malware si è andata a perfezionare per aumentare la durata delle campagne cambiando di continuo i domini per il phishing e, ancora più recentemente, per mascherare gli IP. Tra le aggiunte più importanti dell’ultimo periodo però c’è quella effettuata ai file HTML che di fatto inseriscono il codice javascript che funge poi da veicolo per l’attacco vero e proprio.
La pericolosità di Mamba 2FA risiederebbe proprio nella sofisticatezza, poiché per esempio quando è una società ad essere presa di mira, i messaggi di phishing ricevuti da quest’ultima contengono link che rimandano a pagine che utilizzano direttamente il logo ufficiale dell’impresa e l’interfaccia di accesso personalizzata, dando meno possibilità alla potenziale vittima di rendersi conto di stare cadendo in trappola. Non rimanere vittime di questi attacchi è sinceramente molto difficile, ed uno dei motivi è quello appena spiegato, tuttavia gli esperti consigliano per quanto possibile di dotarsi di strumenti abbastanza accessibili come ad esempio autenticazione basata su certificato, blocco degli IP, il cosiddetto blocco geografico ed il blocco dei device, oltre all’accorciamento della durata dei token d’accesso. In chiusura è bene sottolineare come questo approfondimento non miri a sminuire l’importanza dell’autenticazione a più fattori ma, anzi, a sottolineare quanto sia importante impostarla sui propri account ma senza dimenticare mai che questi strumenti funzionano bene solo quando anche l’utente aumenta la sua capacità di comprendere le minacce e le aziende, dal canto loro, innalzano il recinto contro i pericoli anche con altre soluzioni.
Fonte: 1