Kit de pesca EvilProxy
Els investigadors d'Infosec han notat una tendència alarmant d'actors relacionats amb el frau que utilitzen progressivament un conjunt d'eines Phishing-as-a-Service (PhaaS) anomenat EvilProxy. El programari maliciós s'està desplegant com una manera d'orquestrar els atacs d'adquisició de comptes amb un enfocament específic als executius d'organitzacions destacades.
S'ha observat que aquesta campanya d'atac utilitza una estratègia híbrida que aprofita les funcionalitats del conjunt d'eines EvilProxy. L'objectiu és apuntar a un nombre substancial de comptes d'usuari de Microsoft 365, que culminen amb la distribució d'aproximadament 120.000 correus electrònics de pesca a una multitud d'organitzacions d'arreu del món durant el període de març a juny de 2023.
De manera significativa, entre els nombrosos usuaris compromesos, gairebé el 39% s'identifiquen com a executius de nivell C. Això inclou els consellers delegats que constitueixen el 9% i els directors financers el 17%. Aquests atacs també es concentren en el personal que té accés a recursos financers sensibles o informació crítica. Sorprenentment, no menys del 35% de tots els usuaris compromesos havien optat per capes addicionals de seguretat del compte.
Els experts en ciberseguretat indiquen que aquestes campanyes orquestades són una resposta directa a l'augment de la implementació de l'autenticació multifactor (MFA) a les empreses. En conseqüència, els actors de les amenaces han adaptat les seves estratègies per superar les noves barreres de seguretat mitjançant la incorporació de kits de pesca d'adversari en el mig (AitM). Aquests kits estan dissenyats per capturar credencials, galetes de sessió i contrasenyes d'un sol ús, de manera que permeten als atacants discernir, en temps real, si un usuari de suplantació d'identitat té una importància d'alt nivell. Aquesta identificació precisa permet als atacants accedir ràpidament al compte, centrant els seus esforços en objectius lucratius sense tenir en compte els perfils menys valuosos.
Els kits de pesca com EvilProxy permeten als ciberdelinqüents menys qualificats dur a terme atacs sofisticats
Els investigadors van informar inicialment d'EvilProxy el setembre de 2022 quan van donar a conèixer la seva capacitat per comprometre els comptes d'usuari associats a diverses plataformes destacades, com Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo i Yandex, entre d'altres. Aquest conjunt d'eines es comercialitza com a servei de subscripció, disponible a una tarifa base de 400 dòlars al mes. Tanmateix, el cost pot augmentar fins als 600 dòlars per orientar els comptes de Google, cosa que reflecteix el valor més elevat associat a aquestes credencials.
Els conjunts d'eines de Phishing-as-a-Service (PhaaS) representen una evolució notable en el panorama de la ciberdelinqüència, reduint eficaçment les barreres d'entrada per als delinqüents menys qualificats tècnicament. Aquesta evolució permet l'execució d'atacs de pesca sofisticats a gran escala, tot mantenint un enfocament fluid i rendible.
La disponibilitat d'amenaces amb interfícies tan senzilles i econòmiques ha donat lloc a un augment significatiu de les activitats de pesca d'autenticació multifactor (MFA) amb èxit. Aquesta tendència significa un canvi en les tàctiques emprades pels ciberdelinqüents, que els permet explotar de manera eficient les vulnerabilitats dels sistemes MFA i amplificar l'escala dels seus atacs.
Els actors d'amenaça d'EvilProxy utilitzen correus electrònics fraudulents per atraure víctimes sense sospitar
Les operacions d'atac enregistrades comencen amb la distribució de correus electrònics de pesca que adopten l'aparença de serveis de confiança com Adobe i DocuSign. Aquest enfocament enganyós té com a objectiu atraure els destinataris perquè interaccionin amb URL maliciosos que es troben als correus electrònics. Un cop es fa clic en aquests URL, s'activa una seqüència de redirecció en diverses etapes. L'objectiu és portar l'objectiu cap a una pàgina d'inici de sessió semblant a Microsoft 365, dissenyada intel·ligentment per imitar el portal autèntic. La pàgina d'inici de sessió falsificada actua com a intermediari invers, capturant discretament la informació enviada a través del formulari.
Un element destacat d'aquesta campanya és l'exclusió deliberada del trànsit d'usuaris provinent de les adreces IP turques. Aquest trànsit en particular es redirigeix a llocs web legítims, deixant entreveure la possibilitat que els orquestradors de la campanya tinguin els seus orígens en aquest país.
Un cop s'aconsegueix una presa de possessió del compte amb èxit, els actors de l'amenaça procedeixen a establir una base ferma dins de l'entorn del núvol de l'organització. Això s'aconsegueix introduint el seu propi mètode d'autenticació multifactor (MFA), com ara una aplicació d'autenticació de dos factors. Aquest moviment estratègic garanteix que els actors de l'amenaça puguin mantenir un accés remot coherent, facilitant el moviment lateral dins del sistema i la proliferació de programari maliciós addicional.
L'accés adquirit s'aprofita per a la monetització. Els actors de l'amenaça poden optar per participar en fraus financers, exfiltrar dades confidencials o fins i tot vendre comptes d'usuari compromesos a altres entitats malicioses. En el panorama d'amenaces dinàmiques actuals, les amenaces de proxy inversos, exemplificades específicament per EvilProxy, són una amenaça extremadament potent, que superen les capacitats dels kits de pesca menys sofisticats utilitzats en el passat. En particular, fins i tot l'autenticació multifactor (MFA) no és immune a aquestes amenaces avançades basades en núvol.
