Комплект за фишинг EvilProxy

Изследователите на Infosec са забелязали тревожна тенденция на участници, свързани с измами, които постепенно използват набор от инструменти Phishing-as-a-Service (PhaaS), наречен EvilProxy. Зловреден софтуер се внедрява като начин за оркестриране на атаки за поглъщане на акаунти със специфичен фокус върху ръководители в известни организации.

Такава кампания за атака е наблюдавана при използване на хибридна стратегия, която се възползва от функционалностите на инструментариума EvilProxy. Целта е да се насочи към значителен брой потребителски акаунти на Microsoft 365, като кулминацията е разпространението на приблизително 120 000 фишинг имейла в множество организации по света в рамките на периода от март до юни 2023 г.

Показателно е, че сред многобройните компрометирани потребители, близо 39% са идентифицирани като ръководители на ниво C. Това включва главни изпълнителни директори, съставляващи 9% и финансови директори, представляващи 17%. Тези атаки също се концентрират върху персонал, който има достъп до чувствителни финансови ресурси или критична информация. Впечатляващо е, че не по-малко от 35% от всички компрометирани потребители са избрали допълнителни слоеве за сигурност на акаунта.

Експертите по киберсигурност посочват, че тези организирани кампании са пряк отговор на засиленото внедряване на многофакторно удостоверяване (MFA) в предприятията. Вследствие на това участниците в заплахата са адаптирали стратегиите си, за да преодолеят новите бариери за сигурност чрез включване на комплекти за фишинг противник по средата (AitM). Тези комплекти са създадени да улавят идентификационни данни, сесийни бисквитки и еднократни пароли, като по този начин позволяват на нападателите да разберат в реално време дали даден фишинг потребител е от високо ниво на важност. Тази прецизна идентификация позволява на нападателите бързо да получат достъп до акаунта, като фокусират усилията си върху доходоносни цели, като същевременно пренебрегват по-малко ценни профили.

Фишинг комплекти като EvilProxy позволяват на по-нискоквалифицирани киберпрестъпници да извършват сложни атаки

Първоначално EvilProxy беше докладвано от изследователи през септември 2022 г., когато те разкриха способността му да компрометира потребителски акаунти, свързани с различни видни платформи, включително Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo и Yandex, между другото. Този набор от инструменти се предлага на пазара като абонаментна услуга, достъпна при базова ставка от $400 на месец. Въпреки това, цената може да ескалира до $600 за насочване към Google акаунти, отразявайки по-високата стойност, свързана с тези идентификационни данни.

Комплектите инструменти за фишинг като услуга (PhaaS) представляват забележителна еволюция в пейзажа на киберпрестъпността, като ефективно намаляват бариерите за навлизане на по-малко технически обучени престъпници. Тази еволюция позволява изпълнението на сложни фишинг атаки в голям мащаб, като същевременно поддържа безпроблемен и рентабилен подход.

Наличието на заплахи с такива ясни и бюджетни интерфейси доведе до значително нарастване на успешните фишинг дейности за многофакторно удостоверяване (MFA). Тази тенденция означава промяна в тактиките, използвани от киберпрестъпниците, което им позволява ефективно да използват уязвимостите на MFA системите и да увеличат мащаба на своите атаки.

Заплахите от EvilProxy използват измамни имейли, за да примамят нищо неподозиращите жертви

Записаните операции за атака започват с разпространението на фишинг имейли, които приемат прикритието на надеждни услуги като Adobe и DocuSign. Този измамен подход има за цел да примами получателите да взаимодействат със злонамерени URL адреси, намерени в имейлите. След като се щракне върху тези URL адреси, се задейства многоетапна последователност на пренасочване. Целта е да отведете целта към страница за вход, подобна на Microsoft 365, умело проектирана да имитира автентичния портал. Фалшивата страница за вход действа като обратен прокси, улавяйки дискретно информацията, подадена чрез формуляра.

Забележителен елемент в рамките на тази кампания е умишленото изключване на потребителски трафик, произхождащ от турски IP адреси. Този конкретен трафик се пренасочва към легитимни уебсайтове, намеквайки за възможността оркестраторите на кампанията да произхождат от тази страна.

След като бъде постигнато успешно поглъщане на акаунт, участниците в заплахата продължават да установяват стабилна опора в облачната среда на организацията. Това се постига чрез въвеждане на техен собствен метод за многофакторно удостоверяване (MFA), като например приложение за двуфакторно удостоверяване. Този стратегически ход гарантира, че участниците в заплахата могат да поддържат постоянен отдалечен достъп, улеснявайки странично движение в системата и разпространението на допълнителен зловреден софтуер.

След това придобитият достъп се използва за целите на монетизацията. Актьорите на заплахи могат да изберат да участват във финансови измами, да измъкнат поверителни данни или дори да продадат компрометирани потребителски акаунти на други злонамерени субекти. В настоящия динамичен пейзаж на заплахите обратните прокси заплахи – конкретно илюстрирани от EvilProxy – са изключително силна заплаха, надминаваща възможностите на по-малко сложните фишинг комплекти, използвани в миналото. По-специално, дори многофакторното удостоверяване (MFA) не е имунизирано срещу тези усъвършенствани заплахи, базирани на облак.