کیت فیشینگ EvilProxy
محققان Infosec متوجه روند نگران کننده ای شده اند که بازیگران مرتبط با کلاهبرداری به تدریج از یک جعبه ابزار Phishing-as-a-Service (PhaaS) به نام EvilProxy استفاده می کنند. این بدافزار به عنوان راهی برای سازماندهی حملات تصاحب حساب با تمرکز خاص بر مدیران در سازمانهای برجسته استفاده میشود.
چنین کمپین حمله ای با استفاده از یک استراتژی ترکیبی مشاهده شده است که بر روی عملکردهای جعبه ابزار EvilProxy سرمایه گذاری می کند. هدف هدف قرار دادن تعداد قابل توجهی از حسابهای کاربری مایکروسافت 365 است که به توزیع تقریباً 120000 ایمیل فیشینگ در بسیاری از سازمانها در سراسر جهان در بازه زمانی مارس تا ژوئن 2023 منجر میشود.
به طور قابل توجهی، در میان تعداد زیادی از کاربران در معرض خطر، نزدیک به 39٪ به عنوان مدیران سطح C شناخته می شوند. این شامل مدیران اجرایی با 9٪ و مدیران مالی 17٪ است. این حملات همچنین بر پرسنلی متمرکز است که به منابع مالی حساس یا اطلاعات حیاتی دسترسی دارند. به طور قابل توجهی، کمتر از 35٪ از همه کاربران در معرض خطر، لایه های تکمیلی امنیت حساب را انتخاب کرده بودند.
کارشناسان امنیت سایبری نشان میدهند که این کمپینهای سازمانیافته پاسخی مستقیم به اجرای تشدید احراز هویت چند عاملی (MFA) در شرکتها هستند. در نتیجه، بازیگران تهدید استراتژی های خود را برای غلبه بر موانع امنیتی جدید با ترکیب کیت های فیشینگ دشمن در وسط (AitM) تطبیق داده اند. این کیتها برای گرفتن اعتبار، کوکیهای جلسه و رمزهای عبور یکبار مصرف ابداع شدهاند، در نتیجه به مهاجمان اجازه میدهند در زمان واقعی تشخیص دهند که آیا یک کاربر فیش شده از اهمیت بالایی برخوردار است یا خیر. این شناسایی دقیق مهاجمان را قادر میسازد تا به سرعت به حساب کاربری دسترسی پیدا کنند و تلاشهای خود را روی اهداف سودآور متمرکز کنند و در عین حال پروفایلهای کم ارزش را نادیده بگیرند.
کیتهای فیشینگ مانند EvilProxy به مجرمان سایبری با مهارت پایینتر اجازه میدهد تا حملات پیچیدهای را انجام دهند.
EvilProxy ابتدا توسط محققان در سپتامبر 2022 گزارش شد، زمانی که آنها از قابلیت خود برای به خطر انداختن حساب های کاربری مرتبط با پلتفرم های مختلف مختلف، از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Google، Dropbox، Instagram، Microsoft، NPM، PyPI، RubyGems، Twitter، رونمایی کردند. یاهو، و یاندکس، در میان دیگران. این جعبه ابزار به عنوان یک سرویس اشتراک به بازار عرضه شده است که با نرخ پایه 400 دلار در ماه در دسترس است. با این حال، هزینه برای هدف قرار دادن حسابهای Google تا 600 دلار افزایش مییابد که نشاندهنده ارزش بالاتر مرتبط با آن اعتبارنامهها است.
جعبهابزارهای فیشینگ بهعنوان سرویس (PhaaS) تحول قابلتوجهی را در چشمانداز جرایم سایبری نشان میدهد و به طور موثر موانع ورود مجرمان با مهارت فنی کمتر را کاهش میدهد. این تکامل، اجرای حملات فیشینگ پیچیده در مقیاس بزرگ را ممکن میسازد، همگی با حفظ یک رویکرد یکپارچه و مقرون به صرفه.
در دسترس بودن تهدیدات با چنین رابط های ساده و مقرون به صرفه ای منجر به افزایش قابل توجهی در فعالیت های فیشینگ تأیید چند عاملی (MFA) شده است. این روند نشان دهنده تغییر در تاکتیک های به کار گرفته شده توسط مجرمان سایبری است که به آنها اجازه می دهد تا به طور موثر از آسیب پذیری های سیستم های MFA سوء استفاده کنند و مقیاس حملات خود را تقویت کنند.
بازیگران EvilProxy Threat از ایمیل های جعلی برای فریب قربانیان بی خبر استفاده می کنند
عملیات حمله ضبطشده با توزیع ایمیلهای فیشینگ آغاز میشود که پوشش خدمات قابل اعتمادی مانند Adobe و DocuSign را میپذیرند. هدف این رویکرد فریبکارانه فریب دادن گیرندگان به تعامل با URL های مخرب موجود در ایمیل ها است. پس از کلیک روی این URL ها، یک دنباله تغییر مسیر چند مرحله ای فعال می شود. هدف این است که هدف را به سمت یک صفحه ورود شبیه به مایکروسافت 365 ببریم، که هوشمندانه برای تقلید از پورتال معتبر طراحی شده است. صفحه ورود تقلبی به عنوان یک پروکسی معکوس عمل می کند و به طور مجزا اطلاعات ارسال شده از طریق فرم را جمع آوری می کند.
یک عنصر قابل توجه در این کمپین، حذف عمدی ترافیک کاربران از آدرسهای IP ترکیه است. این ترافیک خاص به وبسایتهای قانونی هدایت میشود و به این احتمال اشاره میکند که سازماندهندگان کمپین ممکن است منشأ خود را در آن کشور داشته باشند.
هنگامی که تصاحب حساب موفقیت آمیز به دست آمد، عوامل تهدید به ایجاد یک جای پای محکم در محیط ابری سازمان می پردازند. این با معرفی روش احراز هویت چند عاملی (MFA) خود، مانند یک برنامه احراز هویت دو مرحلهای، انجام میشود. این حرکت استراتژیک تضمین میکند که عوامل تهدید میتوانند دسترسی از راه دور ثابت را حفظ کنند، حرکت جانبی را در داخل سیستم و تکثیر بدافزارهای اضافی را تسهیل میکند.
سپس دسترسی به دست آمده برای اهداف کسب درآمد مورد استفاده قرار می گیرد. عوامل تهدید ممکن است تصمیم بگیرند که در کلاهبرداری مالی شرکت کنند، داده های محرمانه را استخراج کنند، یا حتی حساب های کاربری در معرض خطر را به سایر نهادهای مخرب بفروشند. در چشم انداز تهدید پویا کنونی، تهدیدات پروکسی معکوس - که به طور خاص توسط EvilProxy مثال زده می شود - یک تهدید بسیار قوی است که از قابلیت های کیت های فیشینگ کمتر پیچیده ای که در گذشته استفاده می شد، پیشی می گیرد. قابل ذکر است که حتی احراز هویت چند عاملی (MFA) نیز از این تهدیدات پیشرفته مبتنی بر ابر مصون نیست.