EvilProxy komplet za krađu identiteta

Istraživači tvrtke Infosec primijetili su alarmantan trend aktera povezanih s prijevarama koji progresivno koriste komplet alata Phishing-as-a-Service (PhaaS) pod nazivom EvilProxy. Zlonamjerni softver se koristi kao način orkestriranja napada preuzimanja računa s posebnim fokusom na rukovoditelje u istaknutim organizacijama.

Takva kampanja napada primijećena je korištenjem hibridne strategije koja kapitalizira funkcionalnosti alata EvilProxy. Cilj je ciljati znatan broj Microsoft 365 korisničkih računa, što će kulminirati distribucijom približno 120.000 phishing e-poruka u mnoštvu organizacija širom svijeta u vremenskom okviru od ožujka do lipnja 2023.

Značajno je da je među brojnim kompromitiranim korisnicima gotovo 39% identificirano kao rukovoditelji na C razini. To uključuje izvršne direktore koji čine 9% i financijske direktore koji čine 17%. Ovi napadi također se koncentriraju na osoblje koje ima pristup osjetljivim financijskim resursima ili kritičnim informacijama. Impresivno je da se čak 35% svih kompromitiranih korisnika odlučilo za dodatne slojeve sigurnosti računa.

Stručnjaci za kibernetičku sigurnost navode da su ove orkestrirane kampanje izravan odgovor na povećanu implementaciju višefaktorske autentifikacije (MFA) unutar poduzeća. Posljedično, akteri prijetnji prilagodili su svoje strategije kako bi prevladali nove sigurnosne barijere uključivanjem kompleta za krađu identiteta protivnik u sredini (AitM). Ovi setovi su osmišljeni za hvatanje vjerodajnica, kolačića sesije i jednokratnih lozinki, čime se napadačima omogućuje da u stvarnom vremenu razaznaju je li phished korisnik od velike važnosti. Ova precizna identifikacija omogućuje napadačima brzi pristup računu, usmjeravajući svoje napore na unosne mete, zanemarujući manje vrijedne profile.

Kompleti za krađu identiteta poput EvilProxya omogućuju niže kvalificiranim kibernetičkim kriminalcima izvođenje sofisticiranih napada

O EvilProxyju su prvi put izvijestili istraživači u rujnu 2022. kada su otkrili njegovu sposobnost kompromitiranja korisničkih računa povezanih s raznim istaknutim platformama, uključujući Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo i Yandex, između ostalih. Ovaj alat se prodaje kao usluga pretplate, dostupna po osnovnoj cijeni od 400 USD mjesečno. Međutim, cijena može eskalirati na 600 USD za ciljanje Google računa, odražavajući višu vrijednost povezanu s tim vjerodajnicama.

Kompleti alata Phishing-as-a-Service (PhaaS) predstavljaju značajnu evoluciju u krajoliku kibernetičkog kriminala, učinkovito smanjujući ulazne prepreke za manje tehnički vješte kriminalce. Ova evolucija omogućuje izvršenje sofisticiranih phishing napada u velikim razmjerima, a sve uz održavanje besprijekornog i troškovno učinkovitog pristupa.

Dostupnost prijetnji s tako jednostavnim i jeftinim sučeljima rezultirala je značajnim porastom uspješnih phishing aktivnosti višefaktorske provjere autentičnosti (MFA). Ovaj trend označava promjenu u taktici koju koriste kibernetički kriminalci, dopuštajući im da učinkovito iskoriste ranjivosti MFA sustava i pojačaju razmjere svojih napada.

Akteri prijetnji EvilProxy koriste lažne e-poruke kako bi namamili žrtve koje ništa ne sumnjaju

Snimljene operacije napada započinju distribucijom phishing e-poruka koje preuzimaju masku pouzdanih usluga kao što su Adobe i DocuSign. Ovaj prijevarni pristup ima za cilj namamiti primatelje na interakciju sa zlonamjernim URL-ovima koji se nalaze u e-porukama. Nakon što se klikne na te URL-ove, pokreće se slijed preusmjeravanja u više faza. Cilj je odvesti metu prema stranici za prijavu nalik Microsoft 365, pametno dizajniranoj da oponaša autentični portal. Krivotvorena stranica za prijavu djeluje kao obrnuti proxy, diskretno hvatajući podatke poslane putem obrasca.

Značajan element unutar ove kampanje je namjerno isključivanje korisničkog prometa koji potječe s turskih IP adresa. Ovaj određeni promet preusmjerava se na legitimne web stranice, što ukazuje na mogućnost da organizatori kampanje potječu iz te zemlje.

Nakon što se postigne uspješno preuzimanje računa, akteri prijetnje nastavljaju uspostavljati čvrsto uporište unutar okruženja oblaka organizacije. To se postiže uvođenjem vlastite metode provjere autentičnosti s više faktora (MFA), kao što je aplikacija za provjeru autentičnosti s dva faktora. Ovaj strateški potez osigurava da akteri prijetnji mogu održavati dosljedan daljinski pristup, olakšavajući bočno kretanje unutar sustava i širenje dodatnog zlonamjernog softvera.

Stečeni pristup zatim se koristi u svrhu unovčavanja. Akteri prijetnje mogu odlučiti uključiti se u financijsku prijevaru, izvući povjerljive podatke ili čak prodati kompromitirane korisničke račune drugim zlonamjernim subjektima. U trenutnom dinamičnom krajoliku prijetnji, obrnute proxy prijetnje – posebno prikazane na EvilProxyju – izuzetno su snažna prijetnja, nadmašujući mogućnosti manje sofisticiranih kompleta za krađu identiteta koji su se koristili u prošlosti. Značajno, čak ni višefaktorska provjera autentičnosti (MFA) nije imuna na ove napredne prijetnje temeljene na oblaku.