کیت فیشینگ EvilProxy

محققان Infosec متوجه روند نگران کننده ای شده اند که بازیگران مرتبط با کلاهبرداری به تدریج از یک جعبه ابزار Phishing-as-a-Service (PhaaS) به نام EvilProxy استفاده می کنند. این بدافزار به عنوان راهی برای سازماندهی حملات تصاحب حساب با تمرکز خاص بر مدیران در سازمان‌های برجسته استفاده می‌شود.

چنین کمپین حمله ای با استفاده از یک استراتژی ترکیبی مشاهده شده است که بر روی عملکردهای جعبه ابزار EvilProxy سرمایه گذاری می کند. هدف هدف قرار دادن تعداد قابل توجهی از حساب‌های کاربری مایکروسافت 365 است که به توزیع تقریباً 120000 ایمیل فیشینگ در بسیاری از سازمان‌ها در سراسر جهان در بازه زمانی مارس تا ژوئن 2023 منجر می‌شود.

به طور قابل توجهی، در میان تعداد زیادی از کاربران در معرض خطر، نزدیک به 39٪ به عنوان مدیران سطح C شناخته می شوند. این شامل مدیران اجرایی با 9٪ و مدیران مالی 17٪ است. این حملات همچنین بر پرسنلی متمرکز است که به منابع مالی حساس یا اطلاعات حیاتی دسترسی دارند. به طور قابل توجهی، کمتر از 35٪ از همه کاربران در معرض خطر، لایه های تکمیلی امنیت حساب را انتخاب کرده بودند.

کارشناسان امنیت سایبری نشان می‌دهند که این کمپین‌های سازمان‌یافته پاسخی مستقیم به اجرای تشدید احراز هویت چند عاملی (MFA) در شرکت‌ها هستند. در نتیجه، بازیگران تهدید استراتژی های خود را برای غلبه بر موانع امنیتی جدید با ترکیب کیت های فیشینگ دشمن در وسط (AitM) تطبیق داده اند. این کیت‌ها برای گرفتن اعتبار، کوکی‌های جلسه و رمزهای عبور یک‌بار مصرف ابداع شده‌اند، در نتیجه به مهاجمان اجازه می‌دهند در زمان واقعی تشخیص دهند که آیا یک کاربر فیش شده از اهمیت بالایی برخوردار است یا خیر. این شناسایی دقیق مهاجمان را قادر می‌سازد تا به سرعت به حساب کاربری دسترسی پیدا کنند و تلاش‌های خود را روی اهداف سودآور متمرکز کنند و در عین حال پروفایل‌های کم ارزش را نادیده بگیرند.

کیت‌های فیشینگ مانند EvilProxy به مجرمان سایبری با مهارت پایین‌تر اجازه می‌دهد تا حملات پیچیده‌ای را انجام دهند.

EvilProxy ابتدا توسط محققان در سپتامبر 2022 گزارش شد، زمانی که آنها از قابلیت خود برای به خطر انداختن حساب های کاربری مرتبط با پلتفرم های مختلف مختلف، از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Google، Dropbox، Instagram، Microsoft، NPM، PyPI، RubyGems، Twitter، رونمایی کردند. یاهو، و یاندکس، در میان دیگران. این جعبه ابزار به عنوان یک سرویس اشتراک به بازار عرضه شده است که با نرخ پایه 400 دلار در ماه در دسترس است. با این حال، هزینه برای هدف قرار دادن حساب‌های Google تا 600 دلار افزایش می‌یابد که نشان‌دهنده ارزش بالاتر مرتبط با آن اعتبارنامه‌ها است.

جعبه‌ابزارهای فیشینگ به‌عنوان سرویس (PhaaS) تحول قابل‌توجهی را در چشم‌انداز جرایم سایبری نشان می‌دهد و به طور موثر موانع ورود مجرمان با مهارت فنی کمتر را کاهش می‌دهد. این تکامل، اجرای حملات فیشینگ پیچیده در مقیاس بزرگ را ممکن می‌سازد، همگی با حفظ یک رویکرد یکپارچه و مقرون به صرفه.

در دسترس بودن تهدیدات با چنین رابط های ساده و مقرون به صرفه ای منجر به افزایش قابل توجهی در فعالیت های فیشینگ تأیید چند عاملی (MFA) شده است. این روند نشان دهنده تغییر در تاکتیک های به کار گرفته شده توسط مجرمان سایبری است که به آنها اجازه می دهد تا به طور موثر از آسیب پذیری های سیستم های MFA سوء استفاده کنند و مقیاس حملات خود را تقویت کنند.

بازیگران EvilProxy Threat از ایمیل های جعلی برای فریب قربانیان بی خبر استفاده می کنند

عملیات حمله ضبط‌شده با توزیع ایمیل‌های فیشینگ آغاز می‌شود که پوشش خدمات قابل اعتمادی مانند Adobe و DocuSign را می‌پذیرند. هدف این رویکرد فریبکارانه فریب دادن گیرندگان به تعامل با URL های مخرب موجود در ایمیل ها است. پس از کلیک روی این URL ها، یک دنباله تغییر مسیر چند مرحله ای فعال می شود. هدف این است که هدف را به سمت یک صفحه ورود شبیه به مایکروسافت 365 ببریم، که هوشمندانه برای تقلید از پورتال معتبر طراحی شده است. صفحه ورود تقلبی به عنوان یک پروکسی معکوس عمل می کند و به طور مجزا اطلاعات ارسال شده از طریق فرم را جمع آوری می کند.

یک عنصر قابل توجه در این کمپین، حذف عمدی ترافیک کاربران از آدرس‌های IP ترکیه است. این ترافیک خاص به وب‌سایت‌های قانونی هدایت می‌شود و به این احتمال اشاره می‌کند که سازمان‌دهندگان کمپین ممکن است منشأ خود را در آن کشور داشته باشند.

هنگامی که تصاحب حساب موفقیت آمیز به دست آمد، عوامل تهدید به ایجاد یک جای پای محکم در محیط ابری سازمان می پردازند. این با معرفی روش احراز هویت چند عاملی (MFA) خود، مانند یک برنامه احراز هویت دو مرحله‌ای، انجام می‌شود. این حرکت استراتژیک تضمین می‌کند که عوامل تهدید می‌توانند دسترسی از راه دور ثابت را حفظ کنند، حرکت جانبی را در داخل سیستم و تکثیر بدافزارهای اضافی را تسهیل می‌کند.

سپس دسترسی به دست آمده برای اهداف کسب درآمد مورد استفاده قرار می گیرد. عوامل تهدید ممکن است تصمیم بگیرند که در کلاهبرداری مالی شرکت کنند، داده های محرمانه را استخراج کنند، یا حتی حساب های کاربری در معرض خطر را به سایر نهادهای مخرب بفروشند. در چشم انداز تهدید پویا کنونی، تهدیدات پروکسی معکوس - که به طور خاص توسط EvilProxy مثال زده می شود - یک تهدید بسیار قوی است که از قابلیت های کیت های فیشینگ کمتر پیچیده ای که در گذشته استفاده می شد، پیشی می گیرد. قابل ذکر است که حتی احراز هویت چند عاملی (MFA) نیز از این تهدیدات پیشرفته مبتنی بر ابر مصون نیست.