EvilProxy Phishing Kit

Infosec-forskere har bemærket en alarmerende tendens med svindel-relaterede aktører, der gradvist bruger et Phishing-as-a-Service (PhaaS) værktøjssæt ved navn EvilProxy. Malwaren bliver implementeret som en måde at orkestrere kontoovertagelsesangreb med et specifikt fokus på ledere i fremtrædende organisationer.

En sådan angrebskampagne er blevet observeret ved at anvende en hybridstrategi, der udnytter funktionerne i EvilProxy-værktøjssættet. Målet er at målrette mod et betydeligt antal Microsoft 365-brugerkonti, hvilket kulminerer i distributionen af cirka 120.000 phishing-e-mails på tværs af en lang række organisationer verden over inden for tidsrammen fra marts til juni 2023.

Det er væsentligt, at blandt de talrige kompromitterede brugere er næsten 39% identificeret som ledere på C-niveau. Dette omfatter administrerende direktører, der udgør 9% og CFO'er, der tegner sig for 17%. Disse angreb koncentrerer sig også om personale, der har adgang til følsomme økonomiske ressourcer eller kritisk information. Imponerende nok havde ikke mindre end 35 % af alle kompromitterede brugere valgt supplerende lag af kontosikkerhed.

Cybersikkerhedseksperter indikerer, at disse orkestrerede kampagner er en direkte reaktion på den øgede implementering af multi-faktor autentificering (MFA) i virksomheder. Som følge heraf har trusselsaktører tilpasset deres strategier for at overvinde de nye sikkerhedsbarrierer ved at inkorporere adversary-in-the-middle (AitM) phishing-sæt. Disse kits er udviklet til at fange legitimationsoplysninger, sessionscookies og engangsadgangskoder, og derved give angriberne mulighed for i realtid at skelne, om en phished-bruger er af vigtighed på højt niveau. Denne præcise identifikation gør det muligt for angriberne hurtigt at få adgang til kontoen og fokuserer deres indsats på lukrative mål, mens mindre værdifulde profiler ses bort fra.

Phishing-sæt som EvilProxy giver lavere kvalificerede cyberkriminelle mulighed for at udføre sofistikerede angreb

EvilProxy blev oprindeligt rapporteret af forskere i september 2022, da de afslørede dets evne til at kompromittere brugerkonti forbundet med forskellige fremtrædende platforme, herunder Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo og Yandex, blandt andre. Dette værktøjssæt markedsføres som en abonnementstjeneste, tilgængelig til en basispris på $400 pr. måned. Omkostningerne kan dog eskalere til $600 for at målrette Google-konti, hvilket afspejler den højere værdi, der er forbundet med disse legitimationsoplysninger.

Phishing-as-a-Service (PhaaS) værktøjssæt repræsenterer en bemærkelsesværdig udvikling i cyberkriminalitetslandskabet, der effektivt reducerer adgangsbarriererne for mindre teknisk dygtige kriminelle. Denne udvikling muliggør udførelse af sofistikerede phishing-angreb i stor skala, alt imens den opretholder en problemfri og omkostningseffektiv tilgang.

Tilgængeligheden af trusler med så ligetil og budgetvenlige grænseflader har resulteret i en markant stigning i succesrige multi-factor authentication (MFA) phishing-aktiviteter. Denne tendens betyder et skift i taktikken, der anvendes af cyberkriminelle, hvilket giver dem mulighed for effektivt at udnytte sårbarhederne i MFA-systemer og forstærke omfanget af deres angreb.

EvilProxy trusselskuespillere bruger svigagtige e-mails til at lokke intetanende ofre

De registrerede angrebsoperationer begynder med distribution af phishing-e-mails, der antager skikkelse af betroede tjenester som Adobe og DocuSign. Denne bedrageriske tilgang har til formål at lokke modtagere til at interagere med ondsindede URL'er, der findes i e-mails. Når der er klikket på disse URL'er, udløses en flertrins omdirigeringssekvens. Målet er at tage målet mod en Microsoft 365 lookalike login-side, smart designet til at efterligne den autentiske portal. Den forfalskede login-side fungerer som en omvendt proxy, der diskret fanger de oplysninger, der sendes via formularen.

Et bemærkelsesværdigt element i denne kampagne er dens bevidste udelukkelse af brugertrafik, der stammer fra tyrkiske IP-adresser. Denne særlige trafik omdirigeres til legitime websteder, hvilket antyder muligheden for, at kampagnens orkestratorer kan have deres oprindelse i det pågældende land.

Når en vellykket kontoovertagelse er opnået, fortsætter trusselsaktørerne med at etablere et solidt fodfæste i organisationens cloudmiljø. Dette opnås ved at introducere deres egen multi-factor authentication (MFA) metode, såsom en to-factor authenticator app. Dette strategiske træk sikrer, at trusselsaktørerne kan opretholde konsekvent fjernadgang, hvilket letter lateral bevægelse i systemet og spredningen af yderligere malware.

Den erhvervede adgang udnyttes derefter til indtægtsformål. Trusselsaktører kan vælge at deltage i økonomisk bedrageri, udslette fortrolige data eller endda sælge kompromitterede brugerkonti til andre ondsindede enheder. I det nuværende dynamiske trussellandskab er reverse proxy-trusler – specifikt eksemplificeret af EvilProxy – en overordentlig potent trussel, der overgår mulighederne i de mindre sofistikerede phishing-sæt, der blev brugt tidligere. Det er bemærkelsesværdigt, at selv multifaktorautentificering (MFA) ikke er immun over for disse avancerede skybaserede trusler.