EvilProxy Phishing Kit

Infosec-tutkijat ovat havainneet hälyttävän trendin, jossa petokseen liittyvät toimijat käyttävät asteittain Phishing-as-a-Service (PhaaS) -työkalupakettia nimeltä EvilProxy. Haittaohjelmaa käytetään keinona järjestää tilien kaappaushyökkäyksiä keskittyen erityisesti tunnettujen organisaatioiden johtajiin.

Tällainen hyökkäyskampanja on havaittu käyttämällä hybridistrategiaa, joka hyödyntää EvilProxy-työkalupakin toimintoja. Tavoitteena on kohdistaa huomattava määrä Microsoft 365 -käyttäjätilejä, mikä huipentuu noin 120 000 phishing-sähköpostin jakeluun useissa organisaatioissa maailmanlaajuisesti maaliskuusta kesäkuuhun 2023.

Merkittävää on, että lukuisista vaarantuneista käyttäjistä lähes 39 % on tunnistettu C-tason johtajiksi. Toimitusjohtajien osuus on 9 % ja talousjohtajien 17 %. Nämä hyökkäykset keskittyvät myös henkilöstöön, jolla on pääsy arkaluonteisiin taloudellisiin resursseihin tai kriittisiin tietoihin. Vaikuttavaa on, että peräti 35 % kaikista vaarantuneista käyttäjistä oli valinnut tilin lisäsuojaustasot.

Kyberturvallisuusasiantuntijat osoittavat, että nämä organisoidut kampanjat ovat suora vastaus monitekijätodennuksen (MFA) lisääntyneeseen käyttöön yrityksissä. Tämän seurauksena uhkatoimijat ovat mukauttaneet strategioitaan ylittääkseen uudet turvallisuusesteet sisällyttämällä AitM-phishing-paketteja. Nämä sarjat on suunniteltu kaappaamaan tunnistetietoja, istuntoevästeitä ja kertaluonteisia salasanoja, jolloin hyökkääjät voivat havaita reaaliajassa, onko tietojenkalastelun kohteena oleva käyttäjä erittäin tärkeä. Tämän tarkan tunnistuksen ansiosta hyökkääjät voivat nopeasti päästä tilille ja keskittyä tuottoisiin kohteisiin jättäen huomiotta vähemmän arvokkaita profiileja.

Tietojenkalastelusarjat, kuten EvilProxy, antavat heikommin koulutettujen kyberrikollisten suorittaa kehittyneitä hyökkäyksiä

Tutkijat raportoivat EvilProxystä alun perin syyskuussa 2022, kun he paljastivat sen kyvyn vaarantaa käyttäjätilejä, jotka liittyvät useisiin merkittäviin alustoihin, mukaan lukien Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo ja Yandex, mm. Tätä työkalupakkia markkinoidaan tilauspalveluna, jonka perushinta on 400 dollaria kuukaudessa. Google-tileihin kohdistamisen hinta voi kuitenkin nousta 600 dollariin, mikä kuvastaa näihin kirjautumistietoihin liittyvää korkeampaa arvoa.

Phishing-as-a-Service (PhaaS) -työkalusarjat edustavat huomattavaa kehitystä tietoverkkorikollisuudessa ja vähentävät tehokkaasti vähemmän teknisesti koulutettujen rikollisten pääsyn esteitä. Tämä kehitys mahdollistaa kehittyneiden tietojenkalasteluhyökkäysten suorittamisen suuressa mittakaavassa, samalla kun säilytetään saumaton ja kustannustehokas lähestymistapa.

Uhkien saatavuus tällaisilla yksinkertaisilla ja budjettiystävällisillä käyttöliittymillä on johtanut onnistuneiden monitekijätodennusten (MFA) tietojenkalastelutoimintojen merkittävään kasvuun. Tämä suuntaus merkitsee muutosta kyberrikollisten käyttämissä taktiikoissa, jolloin he voivat tehokkaasti hyödyntää MFA-järjestelmien haavoittuvuuksia ja lisätä hyökkäysten laajuutta.

EvilProxy-uhkanäyttelijät käyttävät petollisia sähköposteja houkutellakseen hyväuskoisia uhreja

Tallennetut hyökkäysoperaatiot alkavat tietojenkalasteluviestien jakelulla, jotka omaksuvat luotettujen palveluiden, kuten Adoben ja DocuSignin, kaavan. Tämän petollisen lähestymistavan tarkoituksena on houkutella vastaanottajia olemaan vuorovaikutuksessa sähköpostien sisältämien haitallisten URL-osoitteiden kanssa. Kun näitä URL-osoitteita napsautetaan, monivaiheinen uudelleenohjaussarja käynnistyy. Tavoitteena on viedä kohde kohti Microsoft 365:n kaltaista kirjautumissivua, joka on taitavasti suunniteltu jäljittelemään autenttista portaalia. Väärennetty kirjautumissivu toimii käänteisenä välityspalvelimena, joka kaappaa huomaamattomasti lomakkeen kautta lähetetyt tiedot.

Merkittävä elementti tässä kampanjassa on turkkilaisista IP-osoitteista peräisin olevan käyttäjäliikenteen tahallinen poissulkeminen. Tämä liikenne ohjataan laillisille verkkosivustoille, mikä viittaa mahdollisuuteen, että kampanjan järjestäjät saattavat olla peräisin kyseisestä maasta.

Kun onnistunut tilin haltuunotto on saavutettu, uhkatoimijat etenevät vakiinnuttamaan jalansijaa organisaation pilviympäristössä. Tämä saavutetaan ottamalla käyttöön oma monitekijätodennus (MFA) -menetelmä, kuten kaksivaiheinen todennussovellus. Tällä strategisella siirrolla varmistetaan, että uhkatoimijat voivat ylläpitää johdonmukaista etäkäyttöä, mikä helpottaa sivuttaisliikettä järjestelmän sisällä ja lisähaittaohjelmien leviämistä.

Hankittua käyttöoikeutta hyödynnetään sitten kaupallistamiseen. Uhkatoimijat voivat päättää ryhtyä taloudellisiin petoksiin, suodattaa luottamuksellisia tietoja tai jopa myydä vaarantuneita käyttäjätilejä muille haitallisille tahoille. Nykyisessä dynaamisessa uhkaympäristössä käänteiset välityspalvelinuhat – joista EvilProxy on erityisesti esimerkki – ovat erittäin voimakas uhka, joka ylittää aiemmin käytettyjen vähemmän kehittyneiden tietojenkalastelupakettien ominaisuudet. Edes monitekijätodennus (MFA) ei ole immuuni näille kehittyneille pilvipohjaisille uhille.