Κιτ phishing EvilProxy

Οι ερευνητές της Infosec παρατήρησαν μια ανησυχητική τάση παραγόντων που σχετίζονται με απάτες να χρησιμοποιούν σταδιακά μια εργαλειοθήκη Phishing-as-a-Service (PhaaS) που ονομάζεται EvilProxy. Το κακόβουλο λογισμικό αναπτύσσεται ως ένας τρόπος για να ενορχηστρώσει επιθέσεις κατάληψης λογαριασμού με ιδιαίτερη εστίαση σε στελέχη σε εξέχοντες οργανισμούς.

Μια τέτοια εκστρατεία επίθεσης έχει παρατηρηθεί χρησιμοποιώντας μια υβριδική στρατηγική που αξιοποιεί τις λειτουργίες του κιτ εργαλείων EvilProxy. Ο στόχος είναι να στοχεύσουμε έναν σημαντικό αριθμό λογαριασμών χρηστών Microsoft 365, με αποκορύφωμα τη διανομή περίπου 120.000 μηνυμάτων ηλεκτρονικού ψαρέματος σε πληθώρα οργανισμών παγκοσμίως εντός του χρονικού πλαισίου από τον Μάρτιο έως τον Ιούνιο του 2023.

Είναι σημαντικό ότι μεταξύ των πολυάριθμων παραβιασμένων χρηστών, σχεδόν το 39% προσδιορίζονται ως στελέχη C-level. Αυτό περιλαμβάνει CEOs που αποτελούν το 9% και CFO που αντιπροσωπεύουν το 17%. Αυτές οι επιθέσεις επικεντρώνονται επίσης σε προσωπικό που έχει πρόσβαση σε ευαίσθητους οικονομικούς πόρους ή κρίσιμες πληροφορίες. Είναι εντυπωσιακό ότι τουλάχιστον το 35% όλων των παραβιασμένων χρηστών είχαν επιλέξει συμπληρωματικά επίπεδα ασφάλειας λογαριασμού.

Οι ειδικοί στον τομέα της κυβερνοασφάλειας υποδεικνύουν ότι αυτές οι ενορχηστρωμένες εκστρατείες αποτελούν άμεση απάντηση στην αυξημένη εφαρμογή του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) εντός των επιχειρήσεων. Κατά συνέπεια, οι φορείς απειλών έχουν προσαρμόσει τις στρατηγικές τους για να ξεπεράσουν τα νέα εμπόδια ασφαλείας ενσωματώνοντας κιτ phishing αντιπάλου-in-the-middle (AitM). Αυτά τα κιτ έχουν σχεδιαστεί για να συλλαμβάνουν διαπιστευτήρια, cookies περιόδου λειτουργίας και κωδικούς πρόσβασης μίας χρήσης, επιτρέποντας έτσι στους εισβολείς να διακρίνουν, σε πραγματικό χρόνο, εάν ένας χρήστης phish έχει υψηλού επιπέδου σημασία. Αυτή η ακριβής αναγνώριση επιτρέπει στους επιτιθέμενους να αποκτήσουν γρήγορα πρόσβαση στον λογαριασμό, εστιάζοντας τις προσπάθειές τους σε επικερδείς στόχους, αγνοώντας τα λιγότερο πολύτιμα προφίλ.

Τα κιτ ηλεκτρονικού ψαρέματος όπως το EvilProxy επιτρέπουν σε εγκληματίες κυβερνοεγκληματιών χαμηλότερης εξειδίκευσης να πραγματοποιούν εξελιγμένες επιθέσεις

Το EvilProxy αναφέρθηκε αρχικά από ερευνητές τον Σεπτέμβριο του 2022, όταν αποκάλυψαν την ικανότητά του να παραβιάζει λογαριασμούς χρηστών που σχετίζονται με διάφορες εξέχουσες πλατφόρμες, συμπεριλαμβανομένων των Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo και Yandex, μεταξύ άλλων. Αυτή η εργαλειοθήκη διατίθεται στην αγορά ως συνδρομητική υπηρεσία, διαθέσιμη με βασική τιμή 400 $ ανά μήνα. Ωστόσο, το κόστος μπορεί να κλιμακωθεί σε 600 $ για τη στόχευση λογαριασμών Google, αντικατοπτρίζοντας την υψηλότερη αξία που σχετίζεται με αυτά τα διαπιστευτήρια.

Οι εργαλειοθήκες Phishing-as-a-Service (PhaaS) αντιπροσωπεύουν μια αξιοσημείωτη εξέλιξη στο τοπίο του εγκλήματος στον κυβερνοχώρο, μειώνοντας ουσιαστικά τα εμπόδια εισόδου για τους λιγότερο τεχνικά καταρτισμένους εγκληματίες. Αυτή η εξέλιξη επιτρέπει την εκτέλεση εξελιγμένων επιθέσεων phishing σε μεγάλη κλίμακα, διατηρώντας παράλληλα μια απρόσκοπτη και οικονομικά αποδοτική προσέγγιση.

Η διαθεσιμότητα απειλών με τέτοιες απλές και φιλικές προς τον προϋπολογισμό διεπαφές έχει οδηγήσει σε σημαντική αύξηση των επιτυχημένων δραστηριοτήτων ηλεκτρονικού "ψαρέματος" πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA). Αυτή η τάση σηματοδοτεί μια αλλαγή στις τακτικές που εφαρμόζουν οι εγκληματίες του κυβερνοχώρου, επιτρέποντάς τους να εκμεταλλεύονται αποτελεσματικά τα τρωτά σημεία των συστημάτων MFA και να ενισχύουν την κλίμακα των επιθέσεών τους.

Οι ηθοποιοί του EvilProxy Threat χρησιμοποιούν δόλια μηνύματα ηλεκτρονικού ταχυδρομείου για να δελεάσουν ανυποψίαστα θύματα

Οι καταγεγραμμένες λειτουργίες επίθεσης ξεκινούν με τη διανομή email ηλεκτρονικού ψαρέματος που υιοθετούν το πρόσχημα αξιόπιστων υπηρεσιών όπως η Adobe και η DocuSign. Αυτή η παραπλανητική προσέγγιση έχει ως στόχο να παρασύρει τους παραλήπτες να αλληλεπιδράσουν με κακόβουλες διευθύνσεις URL που βρίσκονται στα μηνύματα ηλεκτρονικού ταχυδρομείου. Μόλις γίνει κλικ σε αυτές τις διευθύνσεις URL, ενεργοποιείται μια ακολουθία ανακατεύθυνσης πολλαπλών σταδίων. Ο στόχος είναι να φτάσει ο στόχος προς μια σελίδα σύνδεσης που μοιάζει με το Microsoft 365, που έχει σχεδιαστεί έξυπνα για να μιμείται την αυθεντική πύλη. Η ψεύτικη σελίδα σύνδεσης λειτουργεί ως αντίστροφος διακομιστής, καταγράφοντας διακριτικά τις πληροφορίες που υποβάλλονται μέσω της φόρμας.

Ένα αξιοσημείωτο στοιχείο αυτής της καμπάνιας είναι ο σκόπιμος αποκλεισμός της επισκεψιμότητας χρηστών που προέρχεται από τουρκικές διευθύνσεις IP. Αυτή η συγκεκριμένη επισκεψιμότητα ανακατευθύνεται σε νόμιμες ιστοσελίδες, υπονοώντας την πιθανότητα οι ενορχηστρωτές της καμπάνιας να έχουν την καταγωγή τους στη συγκεκριμένη χώρα.

Μόλις επιτευχθεί μια επιτυχής εξαγορά λογαριασμού, οι παράγοντες της απειλής προχωρούν στη δημιουργία μιας σταθερής βάσης στο περιβάλλον cloud του οργανισμού. Αυτό επιτυγχάνεται με την εισαγωγή της δικής τους μεθόδου ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), όπως μια εφαρμογή ελέγχου ταυτότητας δύο παραγόντων. Αυτή η στρατηγική κίνηση διασφαλίζει ότι οι παράγοντες της απειλής μπορούν να διατηρήσουν συνεπή απομακρυσμένη πρόσβαση, διευκολύνοντας την πλευρική κίνηση εντός του συστήματος και τον πολλαπλασιασμό πρόσθετου κακόβουλου λογισμικού.

Στη συνέχεια, η αποκτηθείσα πρόσβαση αξιοποιείται για σκοπούς δημιουργίας εσόδων. Οι φορείς απειλών μπορεί να επιλέξουν να εμπλακούν σε οικονομική απάτη, να διεισδύσουν εμπιστευτικά δεδομένα ή ακόμα και να πουλήσουν παραβιασμένους λογαριασμούς χρηστών σε άλλες κακόβουλες οντότητες. Στο τρέχον δυναμικό τοπίο απειλών, οι αντίστροφες απειλές διακομιστή μεσολάβησης -που παραδειγματίζονται συγκεκριμένα από το EvilProxy- αποτελούν μια εξαιρετικά ισχυρή απειλή, που ξεπερνά τις δυνατότητες των λιγότερο εξελιγμένων κιτ ηλεκτρονικού "ψαρέματος" που χρησιμοποιήθηκαν στο παρελθόν. Αξίζει να σημειωθεί ότι ακόμη και ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) δεν είναι απρόσβλητος σε αυτές τις προηγμένες απειλές που βασίζονται στο cloud.