EvilProxy Phishing Kit

لاحظ باحثو Infosec اتجاهًا مثيرًا للقلق من الجهات الفاعلة ذات الصلة بالاحتيال التي تستخدم بشكل تدريجي مجموعة أدوات التصيد كخدمة (PhaaS) المسماة EvilProxy. يتم نشر البرامج الضارة كوسيلة لتنظيم هجمات الاستيلاء على الحساب مع التركيز بشكل خاص على المديرين التنفيذيين في المؤسسات البارزة.

وقد لوحظت مثل هذه الحملة الهجومية باستخدام استراتيجية هجينة تستفيد من وظائف مجموعة أدوات EvilProxy. الهدف هو استهداف عدد كبير من حسابات مستخدمي Microsoft 365 ، والتي بلغت ذروتها في توزيع ما يقرب من 120،000 رسالة بريد إلكتروني للتصيد الاحتيالي عبر العديد من المؤسسات في جميع أنحاء العالم خلال الإطار الزمني من مارس إلى يونيو 2023.

بشكل ملحوظ ، من بين العديد من المستخدمين المخترقين ، تم تحديد ما يقرب من 39 ٪ كمديرين تنفيذيين من المستوى C. ويشمل ذلك الرؤساء التنفيذيين بنسبة 9٪ والرؤساء الماليين بنسبة 17٪. تركز هذه الهجمات أيضًا على الأفراد الذين لديهم إمكانية الوصول إلى موارد مالية حساسة أو معلومات مهمة. بشكل مثير للإعجاب ، اختار ما لا يقل عن 35٪ من جميع المستخدمين المخترقين طبقات إضافية من أمان الحساب.

يشير خبراء الأمن السيبراني إلى أن هذه الحملات المنظمة هي استجابة مباشرة للتنفيذ المتزايد للمصادقة متعددة العوامل (MFA) داخل المؤسسات. وبالتالي ، قامت الجهات الفاعلة في مجال التهديد بتكييف استراتيجياتها للتغلب على الحواجز الأمنية الجديدة من خلال دمج مجموعات التصيد الاحتيالي للخصم في الوسط (AitM). تم تصميم هذه المجموعات لالتقاط بيانات الاعتماد وملفات تعريف الارتباط للجلسة وكلمات المرور لمرة واحدة ، مما يسمح للمهاجمين بالتمييز ، في الوقت الفعلي ، ما إذا كان المستخدم المخادع ذا أهمية عالية. يمكّن هذا التحديد الدقيق المهاجمين من الوصول بسرعة إلى الحساب ، مع تركيز جهودهم على الأهداف المربحة مع تجاهل الملفات الشخصية الأقل قيمة.

تسمح مجموعات التصيد الاحتيالي مثل EvilProxy لمجرمي الإنترنت ذوي المهارات المنخفضة بتنفيذ هجمات متطورة

تم الإبلاغ عن EvilProxy في البداية من قبل الباحثين في سبتمبر 2022 عندما كشفوا عن قدرتها على اختراق حسابات المستخدمين المرتبطة بالعديد من المنصات البارزة ، بما في ذلك Apple iCloud و Facebook و GoDaddy و GitHub و Google و Dropbox و Instagram و Microsoft و NPM و PyPI و RubyGems و Twitter ، Yahoo ، و Yandex ، من بين آخرين. يتم تسويق مجموعة الأدوات هذه كخدمة اشتراك ، وهي متاحة بسعر أساسي قدره 400 دولار شهريًا. ومع ذلك ، يمكن أن ترتفع التكلفة إلى 600 دولار لاستهداف حسابات Google ، مما يعكس القيمة الأعلى المرتبطة ببيانات الاعتماد هذه.

تمثل مجموعات أدوات التصيد كخدمة (PhaaS) تطورًا ملحوظًا في مشهد الجرائم الإلكترونية ، مما يقلل بشكل فعال من حواجز الدخول بالنسبة للمجرمين الأقل مهارة تقنيًا. يتيح هذا التطور تنفيذ هجمات التصيد المعقدة على نطاق واسع ، كل ذلك مع الحفاظ على نهج سلس وفعال من حيث التكلفة.

أدى توفر التهديدات مع مثل هذه الواجهات المباشرة والصديقة للميزانية إلى زيادة كبيرة في أنشطة التصيد الاحتيالي الناجحة متعددة العوامل (MFA). يشير هذا الاتجاه إلى تحول في التكتيكات التي يستخدمها مجرمو الإنترنت ، مما يسمح لهم باستغلال نقاط ضعف أنظمة MFA بكفاءة وتضخيم نطاق هجماتهم.

يستخدم الفاعلون في تهديد EvilProxy رسائل البريد الإلكتروني الاحتيالية لجذب الضحايا غير المرتابين

تبدأ عمليات الهجوم المسجلة بتوزيع رسائل البريد الإلكتروني المخادعة التي تتبنى ستار الخدمات الموثوقة مثل Adobe و DocuSign. يهدف هذا النهج المخادع إلى جذب المستلمين للتفاعل مع عناوين URL الضارة الموجودة في رسائل البريد الإلكتروني. بمجرد النقر فوق عناوين URL هذه ، يتم تشغيل تسلسل إعادة توجيه متعدد المراحل. الهدف هو توجيه الهدف نحو صفحة تسجيل دخول تشبه Microsoft 365 ، مصممة بذكاء لتقليد المدخل الأصلي. تعمل صفحة تسجيل الدخول المزيفة بمثابة وكيل عكسي ، حيث تلتقط بشكل منفصل المعلومات المقدمة من خلال النموذج.

أحد العناصر البارزة في هذه الحملة هو استبعادها المتعمد لحركة مرور المستخدم الناشئة من عناوين IP التركية. تتم إعادة توجيه حركة المرور هذه إلى مواقع ويب شرعية ، مما يشير إلى احتمال أن يكون منظمي الحملة أصولهم في ذلك البلد.

بمجرد تحقيق الاستحواذ الناجح على الحساب ، تشرع الجهات الفاعلة في التهديد في إنشاء موطئ قدم ثابت داخل بيئة السحابة الخاصة بالمؤسسة. يتم تحقيق ذلك من خلال تقديم طريقة المصادقة متعددة العوامل (MFA) الخاصة بهم ، مثل تطبيق المصادقة الثنائية. تضمن هذه الخطوة الإستراتيجية أن يتمكن الفاعلون المهددون من الحفاظ على وصول متسق عن بعد ، مما يسهل الحركة الجانبية داخل النظام وانتشار البرامج الضارة الإضافية.

ثم يتم الاستفادة من الوصول المكتسب لأغراض تحقيق الدخل. قد يختار الفاعلون المهددون الانخراط في الاحتيال المالي ، أو سرقة البيانات السرية ، أو حتى بيع حسابات المستخدمين المخترقة إلى كيانات ضارة أخرى. في مشهد التهديد الديناميكي الحالي ، تعد تهديدات الوكيل العكسي - التي يمثلها EvilProxy على وجه التحديد - تهديدًا قويًا للغاية ، ويتجاوز إمكانيات مجموعات التصيد غير المعقدة المستخدمة في الماضي. والجدير بالذكر أن المصادقة متعددة العوامل (MFA) ليست محصنة ضد هذه التهديدات المتقدمة المستندة إلى السحابة.