Sconti per licenze multiple
Threat Database Malware Kit di phishing EvilProxy

Kit di phishing EvilProxy

Entro Mezo nel Malware, Phishing
Traduci in:
Italiano

I ricercatori di Infosec hanno notato una tendenza allarmante di attori legati alle frodi che utilizzano progressivamente un toolkit Phishing-as-a-Service (PhaaS) chiamato EvilProxy. Il malware viene distribuito come un modo per orchestrare attacchi di acquisizione di account con un focus specifico sui dirigenti di importanti organizzazioni.

Tale campagna di attacco è stata osservata impiegando una strategia ibrida che sfrutta le funzionalità del toolkit EvilProxy. L'obiettivo è prendere di mira un numero considerevole di account utente di Microsoft 365, culminando nella distribuzione di circa 120.000 e-mail di phishing in una moltitudine di organizzazioni in tutto il mondo entro il periodo da marzo a giugno 2023.

Significativamente, tra i numerosi utenti compromessi, quasi il 39% è identificato come dirigente di livello C. Ciò comprende i CEO che costituiscono il 9% e i CFO che rappresentano il 17%. Questi attacchi si concentrano anche sul personale che ha accesso a risorse finanziarie sensibili oa informazioni critiche. Sorprendentemente, non meno del 35% di tutti gli utenti compromessi ha optato per livelli supplementari di sicurezza dell'account.

Gli esperti di sicurezza informatica indicano che queste campagne orchestrate sono una risposta diretta alla maggiore implementazione dell'autenticazione a più fattori (MFA) all'interno delle aziende. Di conseguenza, gli attori delle minacce hanno adattato le proprie strategie per superare le nuove barriere di sicurezza incorporando kit di phishing AitM (adversary-in-the-middle). Questi kit sono concepiti per acquisire credenziali, cookie di sessione e password monouso, consentendo così agli aggressori di discernere, in tempo reale, se un utente oggetto di phishing è di alto livello. Questa identificazione precisa consente agli aggressori di ottenere rapidamente l'accesso all'account, concentrando i propri sforzi su obiettivi redditizi ignorando i profili meno preziosi.

I kit di phishing come EvilProxy consentono ai criminali informatici meno qualificati di eseguire attacchi sofisticati

EvilProxy è stato inizialmente segnalato dai ricercatori nel settembre 2022 quando hanno svelato la sua capacità di compromettere gli account utente associati a varie piattaforme importanti, tra cui Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo e Yandex, tra gli altri. Questo toolkit è commercializzato come servizio in abbonamento, disponibile a una tariffa base di $ 400 al mese. Tuttavia, il costo può aumentare fino a $ 600 per il targeting degli account Google, riflettendo il valore più elevato associato a tali credenziali.

I toolkit Phishing-as-a-Service (PhaaS) rappresentano una notevole evoluzione nel panorama del crimine informatico, riducendo efficacemente le barriere all'ingresso per i criminali meno esperti dal punto di vista tecnico. Questa evoluzione consente l'esecuzione di sofisticati attacchi di phishing su larga scala, il tutto mantenendo un approccio trasparente ed economico.

La disponibilità di minacce con interfacce così semplici e convenienti ha portato a un aumento significativo delle attività di phishing di autenticazione a più fattori (MFA) di successo. Questa tendenza indica un cambiamento nelle tattiche impiegate dai criminali informatici, consentendo loro di sfruttare in modo efficiente le vulnerabilità dei sistemi MFA e amplificare la portata dei loro attacchi.

Gli attori delle minacce di EvilProxy utilizzano e-mail fraudolente per attirare vittime ignare

Le operazioni di attacco registrate iniziano con la distribuzione di e-mail di phishing che assumono le sembianze di servizi affidabili come Adobe e DocuSign. Questo approccio ingannevole ha lo scopo di indurre i destinatari a interagire con URL dannosi trovati all'interno delle e-mail. Dopo aver fatto clic su questi URL, viene attivata una sequenza di reindirizzamento in più fasi. L'obiettivo è portare l'obiettivo verso una pagina di accesso simile a Microsoft 365, progettata in modo intelligente per imitare il portale autentico. La pagina di accesso contraffatta funge da proxy inverso, acquisendo in modo discreto le informazioni inviate tramite il modulo.

Un elemento notevole all'interno di questa campagna è la deliberata esclusione del traffico utente proveniente da indirizzi IP turchi. Questo particolare traffico viene reindirizzato a siti Web legittimi, suggerendo la possibilità che gli orchestratori della campagna possano avere le loro origini in quel paese.

Una volta raggiunta con successo l'acquisizione dell'account, gli attori delle minacce procedono a stabilire una solida base all'interno dell'ambiente cloud dell'organizzazione. Ciò si ottiene introducendo il proprio metodo di autenticazione a più fattori (MFA), come un'app di autenticazione a due fattori. Questa mossa strategica garantisce che gli attori delle minacce possano mantenere un accesso remoto coerente, facilitando il movimento laterale all'interno del sistema e la proliferazione di malware aggiuntivo.

L'accesso acquisito viene quindi sfruttato per scopi di monetizzazione. Gli attori delle minacce possono scegliere di impegnarsi in frodi finanziarie, esfiltrare dati riservati o persino vendere account utente compromessi ad altre entità malintenzionate. Nell'attuale panorama dinamico delle minacce, le minacce proxy inverse, esemplificate in particolare da EvilProxy, sono una minaccia estremamente potente, che supera le capacità dei meno sofisticati kit di phishing utilizzati in passato. In particolare, anche l'autenticazione a più fattori (MFA) non è immune da queste minacce avanzate basate sul cloud.

Tendenza

I più visti

Caricamento in corso...