EvilProxy adathalász készlet

Az Infosec kutatói arra a riasztó tendenciára figyeltek fel, hogy a csalással kapcsolatos szereplők fokozatosan használják az EvilProxy nevű adathalászat-szolgáltatás (PhaaS) eszközkészletet. A rosszindulatú programot a fiókátvételi támadások megszervezésére használják, különös tekintettel a kiemelkedő szervezetek vezetőire.

Egy ilyen támadási kampányt egy olyan hibrid stratégia alkalmazásával figyeltek meg, amely az EvilProxy eszközkészlet funkcióit használja ki. A cél az, hogy jelentős számú Microsoft 365 felhasználói fiókot célozzanak meg, ami körülbelül 120 000 adathalász e-mail elosztásával zárul világszerte számos szervezet között 2023 márciusa és júniusa között.

Figyelemre méltó, hogy a számos kompromittált felhasználó közel 39%-át C-szintű vezetőként azonosítják. Ez magában foglalja a vezérigazgatók 9%-át és a pénzügyi igazgatók 17%-át. Ezek a támadások olyan személyekre is irányulnak, akik érzékeny pénzügyi forrásokhoz vagy kritikus információkhoz férnek hozzá. Lenyűgöző módon a feltört felhasználók nem kevesebb, mint 35%-a választotta kiegészítő fiókbiztonsági szinteket.

A kiberbiztonsági szakértők szerint ezek a szervezett kampányok közvetlen választ adnak a többtényezős hitelesítés (MFA) fokozott bevezetésére a vállalatokon belül. Következésképpen a fenyegetés szereplői úgy alakították át stratégiájukat, hogy leküzdjék az új biztonsági korlátokat az AitM adathalász készletek beépítésével. Ezeket a készleteket úgy tervezték, hogy rögzítsék a hitelesítő adatokat, a munkamenet-sütiket és az egyszeri jelszavakat, ezáltal lehetővé téve a támadók számára, hogy valós időben felismerjék, hogy egy adathalász felhasználó nagy jelentőségű-e. Ez a pontos azonosítás lehetővé teszi a támadók számára, hogy gyorsan hozzáférjenek a fiókhoz, erőfeszítéseiket jövedelmező célpontokra összpontosítva, figyelmen kívül hagyva a kevésbé értékes profilokat.

Az EvilProxyhoz hasonló adathalász készletek lehetővé teszik az alacsonyabban képzett számítógépes bűnözők számára, hogy kifinomult támadásokat hajtsanak végre

Az EvilProxy-ról 2022 szeptemberében számoltak be a kutatók, amikor bemutatták, hogy képes kompromittálni a különféle prominens platformokhoz, köztük az Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, felhasználói fiókokat. Többek között a Yahoo és a Yandex. Ezt az eszközkészletet előfizetéses szolgáltatásként forgalmazzák, havi 400 dolláros alapkamatért. A Google-fiókok megcélzásának költsége azonban 600 USD-ra emelkedhet, ami tükrözi az ezekhez a hitelesítő adatokhoz társított magasabb értéket.

Az adathalászat szolgáltatásként (PhaaS) eszközkészletei jelentős fejlődést jelentenek a kiberbűnözés területén, hatékonyan csökkentve a technikailag kevésbé képzett bűnözők belépési korlátait. Ez az evolúció lehetővé teszi a kifinomult adathalász támadások nagy léptékű végrehajtását, miközben fenntartja a zökkenőmentes és költséghatékony megközelítést.

Az ilyen egyszerű és költségkímélő felületekkel rendelkező fenyegetések elérhetősége a sikeres többtényezős hitelesítési (MFA) adathalász tevékenységek jelentős felfutását eredményezte. Ez a tendencia a kiberbűnözők által alkalmazott taktikák változását jelzi, lehetővé téve számukra, hogy hatékonyan kihasználják az MFA-rendszerek sebezhetőségét, és felerősítsék támadásaik mértékét.

Az EvilProxy fenyegetés szereplői csaló e-mailekkel csalogatják a gyanútlan áldozatokat

A rögzített támadási műveletek az adathalász e-mailek terjesztésével kezdődnek, amelyek olyan megbízható szolgáltatások álcáját öltik magukra, mint az Adobe és a DocuSign. Ennek a megtévesztő megközelítésnek az a célja, hogy rávegye a címzetteket az e-mailekben található rosszindulatú URL-ekkel való interakcióra. Ha ezekre az URL-ekre kattint, egy többlépcsős átirányítási sorozat indul el. A cél az, hogy egy Microsoft 365-höz hasonló bejelentkezési oldal felé vigyük a célpontot, amelyet ügyesen úgy terveztek, hogy utánozza a hiteles portált. A hamisított bejelentkezési oldal fordított proxyként működik, diszkréten rögzítve az űrlapon keresztül benyújtott információkat.

A kampány egyik figyelemre méltó eleme a török IP-címekről származó felhasználói forgalom szándékos kizárása. Ezt a forgalmat a rendszer legitim webhelyekre irányítja át, utalva arra a lehetőségre, hogy a kampány szervezői ebből az országból származnak.

A sikeres fiókátvételt követően a fenyegetés szereplői szilárdan megveszik a lábukat a szervezet felhőkörnyezetében. Ezt saját többtényezős hitelesítési (MFA) módszerük, például egy kéttényezős hitelesítő alkalmazás bevezetésével érik el. Ez a stratégiai lépés biztosítja, hogy a fenyegetés szereplői konzisztens távoli hozzáférést tarthassanak fenn, megkönnyítve a rendszeren belüli oldalirányú mozgást és a további rosszindulatú programok elterjedését.

A megszerzett hozzáférést ezután bevételszerzési célokra használják fel. A fenyegetés szereplői dönthetnek úgy, hogy pénzügyi csalásban vesznek részt, bizalmas adatokat kiszivárogtatnak, vagy akár eladják a feltört felhasználói fiókokat más rosszindulatú entitásoknak. A jelenlegi dinamikus fenyegetési környezetben a fordított proxyfenyegetések – különösen az EvilProxy példájaként – rendkívül erős fenyegetést jelentenek, felülmúlva a múltban használt, kevésbé kifinomult adathalász készletek képességeit. Figyelemre méltó, hogy még a többtényezős hitelesítés (MFA) sem mentes ezektől a fejlett felhőalapú fenyegetésektől.