ערכת דיוג של EvilProxy

חוקרי Infosec הבחינו במגמה מדאיגה של שחקנים הקשורים להונאה המשתמשים בהדרגה בערכת כלים של Phishing-as-a-Service (PhaaS) בשם EvilProxy. התוכנה הזדונית נפרסת כדרך לתזמר התקפות השתלטות על חשבון תוך התמקדות ספציפית במנהלים בארגונים בולטים.

מסע תקיפה כזה נצפה תוך שימוש באסטרטגיה היברידית המנצלת את הפונקציונליות של ערכת הכלים EvilProxy. המטרה היא למקד למספר ניכר של חשבונות משתמש של Microsoft 365, ששיאו בהפצה של כ-120,000 הודעות דיוג על פני מספר רב של ארגונים ברחבי העולם במסגרת הזמן של מרץ עד יוני 2023.

באופן משמעותי, מבין המשתמשים הרבים שנפגעו, כמעט 39% מזוהים כמנהלים ברמת C. זה כולל מנכ"לים המהווים 9% וסמנכ"לי כספים המהווים 17%. התקפות אלו מתרכזות גם בכוח אדם שיש לו גישה למשאבים פיננסיים רגישים או למידע קריטי. באופן מרשים, לא פחות מ-35% מכלל המשתמשים שנפגעו בחרו בשכבות משלימות של אבטחת חשבון.

מומחי אבטחת סייבר מציינים כי הקמפיינים המתוזמרים הללו הם תגובה ישירה ליישום המוגבר של אימות רב-גורמי (MFA) בתוך ארגונים. כתוצאה מכך, גורמי איומים התאימו את האסטרטגיות שלהם כדי להתגבר על מחסומי האבטחה החדשים על ידי שילוב ערכות דיוג של יריב-באמצע (AitM). ערכות אלו מתוכננות כדי ללכוד אישורים, קובצי Cookie וסיסמאות חד פעמיות, ובכך לאפשר לתוקפים להבחין, בזמן אמת, האם למשתמש דיוג יש חשיבות ברמה גבוהה. זיהוי מדויק זה מאפשר לתוקפים לקבל גישה מהירה לחשבון, תוך מיקוד מאמציהם ביעדים משתלמים תוך התעלמות מפרופילים פחות חשובים.

ערכות דיוג כמו EvilProxy מאפשרות לפושעי סייבר בעלי מיומנות נמוכה יותר לבצע התקפות מתוחכמות

EvilProxy דווח תחילה על ידי חוקרים בספטמבר 2022 כאשר חשפו את יכולתה לסכן חשבונות משתמשים הקשורים לפלטפורמות בולטות שונות, כולל Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, יאהו ו-Yandex, בין היתר. ערכת כלים זו משווקת כשירות מנוי, זמין בתעריף בסיס של $400 לחודש. עם זאת, העלות יכולה לעלות ל-$600 עבור מיקוד לחשבונות Google, המשקף את הערך הגבוה יותר המשויך לאותם אישורים.

ערכות כלים של Phishing-as-a-A-Service (PhaaS) מייצגות התפתחות בולטת בנוף פשעי הסייבר, ומפחיתות למעשה את חסמי הכניסה לפושעים פחות מיומנים מבחינה טכנית. התפתחות זו מאפשרת ביצוע של התקפות דיוג מתוחכמות בקנה מידה גדול, כל זאת תוך שמירה על גישה חלקה וחסכונית.

הזמינות של איומים עם ממשקים כה פשוטים וידידותיים לתקציב הביאה לעלייה משמעותית בפעילויות דיוג מוצלחות של אימות רב-גורמי (MFA). מגמה זו מסמלת שינוי בטקטיקות של פושעי סייבר, המאפשרת להם לנצל ביעילות את נקודות התורפה של מערכות MFA ולהגביר את היקף ההתקפות שלהם.

שחקנים באיומים של EvilProxy משתמשים באימיילים הונאה כדי לפתות קורבנות תמימים

פעולות ההתקפה המתועדות מתחילות בהפצה של מיילים דיוגים המאמצים את המסווה של שירותים מהימנים כמו Adobe ו-DocuSign. גישה מטעה זו מכוונת לפתות נמענים ליצור אינטראקציה עם כתובות URL זדוניות שנמצאו בהודעות האימייל. לאחר לחיצה על כתובות אתרים אלו, מופעל רצף ניתוב רב-שלבי. המטרה היא לקחת את היעד לעבר דף התחברות דומה ל-Microsoft 365, שתוכנן בחוכמה כדי לחקות את הפורטל האותנטי. דף הכניסה המזויף פועל כפרוקסי הפוך, לוכד באופן דיסקרטי את המידע שנשלח באמצעות הטופס.

מרכיב בולט במסע פרסום זה הוא אי הכללה מכוונת של תעבורת משתמשים שמקורה בכתובות IP טורקיות. התנועה הספציפית הזו מופנית לאתרים לגיטימיים, מה שמרמז על האפשרות שמוצאם של מתזמי הקמפיינים במדינה זו.

לאחר שהושגה השתלטות מוצלחת על חשבון, גורמי האיום ממשיכים לבסס דריסת רגל איתנה בסביבת הענן של הארגון. זה מושג על ידי הצגת שיטת אימות רב-גורמי (MFA) משלהם, כגון אפליקציית אימות דו-גורמי. מהלך אסטרטגי זה מבטיח שגורמי האיום יכולים לשמור על גישה מרחוק עקבית, מה שמקל על תנועה רוחבית בתוך המערכת ותפוצה של תוכנות זדוניות נוספות.

לאחר מכן הגישה הנרכשת ממונפת למטרות מונטיזציה. שחקנים מאיימים עשויים לבחור לעסוק בהונאה פיננסית, להסתנן נתונים סודיים, או אפילו למכור חשבונות משתמש שנפגעו לגורמים זדוניים אחרים. בנוף האיומים הדינמי הנוכחי, איומי פרוקסי הפוך - המודגמים במיוחד על ידי EvilProxy - הם איום חזק ביותר, העולה על היכולות של ערכות הדיוג הפחות מתוחכמות שהיו בשימוש בעבר. יש לציין שאפילו אימות רב-גורמי (MFA) אינו חסין מפני איומים מתקדמים מבוססי ענן אלו.