„EvilProxy“ sukčiavimo rinkinys

„Infosec“ tyrėjai pastebėjo nerimą keliančią tendenciją, kai su sukčiavimu susiję veikėjai laipsniškai naudoja sukčiavimo kaip paslauga (PhaaS) įrankių rinkinį, pavadintą „EvilProxy“. Kenkėjiška programa naudojama kaip būdas organizuoti paskyros perėmimo atakas, ypatingą dėmesį skiriant žinomų organizacijų vadovams.

Tokia atakos kampanija buvo pastebėta naudojant mišrią strategiją, kuri išnaudoja EvilProxy įrankių rinkinio funkcijas. Tikslas yra nukreipti didelį skaičių „Microsoft 365“ naudotojų paskyrų, o tai baigtųsi maždaug 120 000 sukčiavimo el. laiškų paskirstymu daugelyje organizacijų visame pasaulyje per laikotarpį nuo 2023 m. kovo iki birželio mėn.

Svarbu tai, kad tarp daugybės pažeistų vartotojų beveik 39% yra C lygio vadovai. Ją sudaro generaliniai direktoriai, kurie sudaro 9%, o finansų direktoriai - 17%. Šios atakos taip pat nukreiptos prieš darbuotojus, kurie turi prieigą prie jautrių finansinių išteklių arba svarbios informacijos. Įspūdinga tai, kad ne mažiau kaip 35 % visų pažeistų vartotojų pasirinko papildomus paskyros saugos sluoksnius.

Kibernetinio saugumo ekspertai nurodo, kad šios organizuotos kampanijos yra tiesioginis atsakas į sustiprintą kelių veiksnių autentifikavimo (MFA) diegimą įmonėse. Todėl grėsmės veikėjai pritaikė savo strategijas, kad įveiktų naujas saugumo kliūtis, įtraukdami priešo viduryje (AitM) sukčiavimo rinkinius. Šie rinkiniai sukurti kredencialams, seanso slapukams ir vienkartiniams slaptažodžiams užfiksuoti, todėl užpuolikai realiuoju laiku gali nustatyti, ar sukčiavęs vartotojas yra labai svarbus. Šis tikslus identifikavimas leidžia užpuolikams greitai gauti prieigą prie paskyros, sutelkiant pastangas į pelningus taikinius, nepaisant mažiau vertingų profilių.

Sukčiavimo rinkiniai, tokie kaip „EvilProxy“, leidžia žemesnės kvalifikacijos kibernetiniams nusikaltėliams vykdyti sudėtingus išpuolius

Iš pradžių mokslininkai pranešė apie „EvilProxy“ 2022 m. rugsėjį, kai jie pristatė galimybę pažeisti vartotojų paskyras, susijusias su įvairiomis žinomomis platformomis, įskaitant Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, „Yahoo“ ir „Yandex“, be kita ko. Šis įrankių rinkinys parduodamas kaip prenumeratos paslauga, kurios bazinė kaina yra 400 USD per mėnesį. Tačiau taikymo pagal „Google“ paskyras kaina gali padidėti iki 600 USD, o tai atspindi didesnę su tais kredencialais susietą vertę.

Sukčiavimo kaip paslauga (PhaaS) įrankių rinkiniai rodo reikšmingą elektroninių nusikaltimų raidą, veiksmingai sumažindami mažiau techniškai įgudusių nusikaltėlių patekimo kliūtis. Ši evoliucija leidžia vykdyti sudėtingas didelio masto sukčiavimo atakas, išlaikant sklandų ir ekonomišką metodą.

Grėsmių prieinamumas su tokiomis paprastomis ir biudžetui palankiomis sąsajomis labai padidino sėkmingą kelių veiksnių autentifikavimo (MFA) sukčiavimo veiklą. Ši tendencija rodo kibernetinių nusikaltėlių taktikos pasikeitimą, leidžiantį jiems efektyviai išnaudoti MFA sistemų pažeidžiamumą ir padidinti savo atakų mastą.

„EvilProxy“ grėsmės aktoriai naudoja apgaulingus el. laiškus, kad priviliotų nieko neįtariančias aukas

Įrašytos atakos operacijos prasideda nuo sukčiavimo el. laiškų, kurie prisidengia patikimų paslaugų, tokių kaip „Adobe“ ir „DocuSign“, platinimu. Šiuo apgaulingu metodu siekiama privilioti gavėjus sąveikauti su el. laiškuose esančiais kenkėjiškais URL. Spustelėjus šiuos URL, suaktyvinama kelių etapų peradresavimo seka. Tikslas yra nukreipti taikinį į „Microsoft 365“ panašų prisijungimo puslapį, sumaniai sukurtą, kad imituotų autentišką portalą. Suklastotas prisijungimo puslapis veikia kaip atvirkštinis tarpinis serveris, diskretiškai fiksuojantis per formą pateiktą informaciją.

Svarbus šios kampanijos elementas yra sąmoningas vartotojų srauto iš Turkijos IP adresų pašalinimas. Šis konkretus srautas nukreipiamas į teisėtas svetaines, nurodant galimybę, kad kampanijos organizatoriai gali būti kilę iš tos šalies.

Sėkmingai perėmus paskyrą, grėsmės veikėjai imasi tvirtos pozicijos organizacijos debesijos aplinkoje. Tai pasiekiama pristatant savo kelių veiksnių autentifikavimo (MFA) metodą, pvz., dviejų veiksnių autentifikavimo programą. Šiuo strateginiu žingsniu užtikrinama, kad grėsmės veikėjai galėtų palaikyti nuoseklią nuotolinę prieigą, palengvindami judėjimą sistemoje ir papildomų kenkėjiškų programų plitimą.

Tada įgyta prieiga panaudojama pinigų gavimo tikslais. Grėsmės subjektai gali nuspręsti įsitraukti į finansinį sukčiavimą, išfiltruoti konfidencialius duomenis ar net parduoti pažeistas vartotojų paskyras kitiems kenkėjiškiems subjektams. Dabartinėje dinamiškoje grėsmių aplinkoje atvirkštinės tarpinio serverio grėsmės, kurių pavyzdys yra EvilProxy, yra nepaprastai stipri grėsmė, pranokstanti praeityje naudotų mažiau sudėtingų sukčiavimo rinkinių galimybes. Pažymėtina, kad net kelių veiksnių autentifikavimas (MFA) nėra apsaugotas nuo šių pažangių debesies grėsmių.