EvilProxy Phishing Kit

Výzkumníci společnosti Infosec zaznamenali alarmující trend, kdy aktéři související s podvody postupně využívají sadu nástrojů Phishing-as-a-Service (PhaaS) s názvem EvilProxy. Malware je nasazován jako způsob, jak organizovat útoky na převzetí účtu se specifickým zaměřením na vedoucí pracovníky v prominentních organizacích.

Taková útočná kampaň byla pozorována za použití hybridní strategie, která těží z funkcí sady nástrojů EvilProxy. Cílem je zaměřit se na značný počet uživatelských účtů Microsoft 365, což vyvrcholí distribucí přibližně 120 000 phishingových e-mailů mezi množství organizací po celém světě v období od března do června 2023.

Je příznačné, že mezi mnoha ohroženými uživateli je téměř 39 % identifikováno jako vedoucí pracovníci na úrovni C. To zahrnuje 9 % generálních ředitelů a 17 % finančních ředitelů. Tyto útoky se také zaměřují na personál, který má přístup k citlivým finančním zdrojům nebo kritickým informacím. Působivé je, že ne méně než 35 % všech ohrožených uživatelů se rozhodlo pro doplňkové vrstvy zabezpečení účtu.

Odborníci na kybernetickou bezpečnost uvádějí, že tyto organizované kampaně jsou přímou odpovědí na zvýšenou implementaci vícefaktorové autentizace (MFA) v podnicích. V důsledku toho aktéři hrozeb přizpůsobili své strategie, aby překonali nové bezpečnostní bariéry, a to začleněním phishingových sad AitM (Adversary-in-the-middle). Tyto sady jsou navrženy tak, aby zachycovaly přihlašovací údaje, soubory cookie relace a jednorázová hesla, čímž umožňují útočníkům v reálném čase rozeznat, zda má phishingový uživatel vysokou důležitost. Tato přesná identifikace umožňuje útočníkům rychle získat přístup k účtu, zaměřit své úsilí na lukrativní cíle a přitom ignorovat méně hodnotné profily.

Phishingové sady jako EvilProxy umožňují méně kvalifikovaným kyberzločincům provádět sofistikované útoky

EvilProxy byl původně hlášen výzkumníky v září 2022, když odhalili jeho schopnost kompromitovat uživatelské účty spojené s různými prominentními platformami, včetně Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo a Yandex, mezi ostatními. Tato sada nástrojů je nabízena jako předplatitelská služba, která je k dispozici za základní sazbu 400 USD měsíčně. Náklady se však mohou zvýšit až na 600 USD za cílení na účty Google, což odráží vyšší hodnotu spojenou s těmito pověřeními.

Sady nástrojů Phishing-as-a-Service (PhaaS) představují pozoruhodný vývoj v oblasti počítačové kriminality a účinně snižují vstupní bariéry pro méně technicky kvalifikované zločince. Tento vývoj umožňuje provádět sofistikované phishingové útoky ve velkém měřítku, to vše při zachování bezproblémového a nákladově efektivního přístupu.

Dostupnost hrozeb s tak přímočarými a cenově příznivými rozhraními vedla k výraznému nárůstu úspěšných phishingových aktivit s vícefaktorovou autentizací (MFA). Tento trend znamená posun v taktice kyberzločinců, která jim umožňuje efektivně využívat zranitelnosti systémů MFA a zesilovat rozsah jejich útoků.

Aktéři hrozeb EvilProxy používají podvodné e-maily k lákání nic netušících obětí

Zaznamenané útočné operace začínají distribucí phishingových e-mailů, které přebírají masku důvěryhodných služeb, jako jsou Adobe a DocuSign. Tento podvodný přístup je zaměřen na nalákání příjemců k interakci se škodlivými adresami URL nalezenými v e-mailech. Po kliknutí na tyto adresy URL se spustí vícestupňová sekvence přesměrování. Cílem je přesunout cíl na přihlašovací stránku podobnou Microsoft 365, chytře navrženou tak, aby napodobovala autentický portál. Falešná přihlašovací stránka funguje jako reverzní proxy a diskrétně zachycuje informace odeslané prostřednictvím formuláře.

Pozoruhodným prvkem této kampaně je její záměrné vyloučení uživatelského provozu pocházejícího z tureckých IP adres. Tento konkrétní provoz je přesměrován na legitimní webové stránky, což naznačuje možnost, že organizátoři kampaně mohou mít svůj původ v dané zemi.

Jakmile je dosaženo úspěšného převzetí účtu, aktéři ohrožení přistoupí k vytvoření pevné pozice v cloudovém prostředí organizace. Toho je dosaženo zavedením vlastní metody vícefaktorové autentizace (MFA), jako je aplikace dvoufaktorového ověřování. Tento strategický krok zajišťuje, že aktéři ohrožení mohou udržovat konzistentní vzdálený přístup, což usnadňuje boční pohyb v rámci systému a šíření dalšího malwaru.

Získaný přístup je poté využit pro účely monetizace. Aktéři hrozeb se mohou rozhodnout zapojit se do finančních podvodů, exfiltrovat důvěrná data nebo dokonce prodat kompromitované uživatelské účty jiným škodlivým subjektům. V současném dynamickém prostředí hrozeb představují reverzní proxy hrozby – konkrétně příkladem EvilProxy – mimořádně silnou hrozbu, která překonává možnosti méně sofistikovaných phishingových sad používaných v minulosti. Je pozoruhodné, že ani vícefaktorová autentizace (MFA) není imunní vůči těmto pokročilým cloudovým hrozbám.