EvilProxy pikšķerēšanas komplekts

Infosec pētnieki ir pamanījuši satraucošu tendenci, ka ar krāpšanu saistīti dalībnieki pakāpeniski izmanto pikšķerēšanas kā pakalpojuma (PhaaS) rīku komplektu ar nosaukumu EvilProxy. Ļaunprātīga programmatūra tiek izvietota kā veids, kā organizēt kontu pārņemšanas uzbrukumus, īpašu uzmanību pievēršot vadošo organizāciju vadītājiem.

Šāda uzbrukuma kampaņa ir novērota, izmantojot hibrīda stratēģiju, kas izmanto EvilProxy rīku komplekta funkcijas. Mērķis ir mērķēt uz ievērojamu skaitu Microsoft 365 lietotāju kontu, kas beidzas ar aptuveni 120 000 pikšķerēšanas e-pasta ziņojumu izplatīšanu daudzās organizācijās visā pasaulē laika posmā no 2023. gada marta līdz jūnijam.

Zīmīgi, ka no daudziem apdraudētajiem lietotājiem gandrīz 39% ir identificēti kā C līmeņa vadītāji. Tas ietver izpilddirektorus, kas veido 9%, un finanšu direktorus, kas veido 17%. Šie uzbrukumi ir vērsti arī uz darbiniekiem, kuriem ir piekļuve sensitīviem finanšu resursiem vai svarīgai informācijai. Iespaidīgi, ka ne mazāk kā 35% no visiem apdraudētajiem lietotājiem bija izvēlējušies papildu konta drošības līmeņus.

Kiberdrošības eksperti norāda, ka šīs organizētās kampaņas ir tieša atbilde uz pastiprinātu daudzfaktoru autentifikācijas (MFA) ieviešanu uzņēmumos. Līdz ar to apdraudējuma dalībnieki ir pielāgojuši savas stratēģijas, lai pārvarētu jaunos drošības šķēršļus, iekļaujot pretinieka vidū (AitM) pikšķerēšanas komplektus. Šie komplekti ir izstrādāti, lai tvertu akreditācijas datus, sesijas sīkfailus un vienreizējās paroles, tādējādi ļaujot uzbrucējiem reāllaikā noteikt, vai pikšķerēšanas lietotājs ir ļoti svarīgs. Šī precīzā identifikācija ļauj uzbrucējiem ātri piekļūt kontam, koncentrējoties uz ienesīgiem mērķiem, vienlaikus neņemot vērā mazāk vērtīgus profilus.

Pikšķerēšanas komplekti, piemēram, EvilProxy, ļauj zemāk kvalificētiem kibernoziedzniekiem veikt sarežģītus uzbrukumus

Pētnieki sākotnēji ziņoja par EvilProxy 2022. gada septembrī, kad viņi atklāja tā spēju apdraudēt lietotāju kontus, kas saistīti ar dažādām ievērojamām platformām, tostarp Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo un Yandex, cita starpā. Šis rīku komplekts tiek tirgots kā abonēšanas pakalpojums, kas pieejams par bāzes likmi 400 USD mēnesī. Tomēr maksa var pieaugt līdz 600 ASV dolāriem par mērķauditorijas atlasi Google kontos, atspoguļojot ar šiem akreditācijas datiem saistīto augstāko vērtību.

Pikšķerēšanas kā pakalpojuma (PhaaS) rīku komplekti atspoguļo ievērojamu attīstību kibernoziedzības vidē, efektīvi samazinot tehniski mazāk kvalificētu noziedznieku ienākšanas barjeras. Šī evolūcija ļauj veikt sarežģītus pikšķerēšanas uzbrukumus plašā mērogā, vienlaikus saglabājot vienmērīgu un rentablu pieeju.

Apdraudējumu pieejamība ar šādām vienkāršām un budžetam draudzīgām saskarnēm ir izraisījusi ievērojamu veiksmīgu daudzfaktoru autentifikācijas (MFA) pikšķerēšanas darbību pieaugumu. Šī tendence norāda uz maiņu kibernoziedznieku izmantotajā taktikā, ļaujot viņiem efektīvi izmantot MFA sistēmu ievainojamības un palielināt savu uzbrukumu mērogu.

EvilProxy draudu aktieri izmanto krāpnieciskus e-pastus, lai pievilinātu nenojaušos upurus

Ierakstītās uzbrukuma operācijas sākas ar pikšķerēšanas e-pasta ziņojumu izplatīšanu, kas tiek izmantoti uzticamu pakalpojumu, piemēram, Adobe un DocuSign, aizsegā. Šīs maldinošās pieejas mērķis ir pievilināt adresātus mijiedarboties ar e-pastā atrastajiem ļaunprātīgajiem URL. Kad tiek noklikšķināts uz šiem URL, tiek aktivizēta vairāku posmu novirzīšanas secība. Mērķis ir virzīt mērķi uz Microsoft 365 līdzīgu pieteikšanās lapu, kas ir gudri izstrādāta, lai atdarinātu autentisku portālu. Viltotā pieteikšanās lapa darbojas kā apgrieztais starpniekserveris, diskrēti tverot veidlapā iesniegto informāciju.

Ievērojams elements šajā kampaņā ir tās apzināta lietotāju trafika izslēgšana no Turcijas IP adresēm. Šī konkrētā datplūsma tiek novirzīta uz likumīgām vietnēm, norādot uz iespēju, ka kampaņas organizētāju izcelsme varētu būt šajā valstī.

Kad ir panākta veiksmīga konta pārņemšana, apdraudējuma dalībnieki turpina nostiprināties organizācijas mākoņa vidē. Tas tiek panākts, ieviešot savu daudzfaktoru autentifikācijas (MFA) metodi, piemēram, divu faktoru autentifikācijas lietotni. Šis stratēģiskais solis nodrošina, ka apdraudējuma dalībnieki var uzturēt pastāvīgu attālo piekļuvi, veicinot sānu kustību sistēmā un papildu ļaunprātīgas programmatūras izplatīšanos.

Pēc tam iegūtā piekļuve tiek izmantota monetizācijas nolūkos. Draudu dalībnieki var izvēlēties iesaistīties finanšu krāpšanā, izfiltrēt konfidenciālus datus vai pat pārdot uzlauztus lietotāju kontus citām ļaunprātīgām struktūrām. Pašreizējā dinamiskā draudu vidē reversie starpniekservera draudi, ko īpaši raksturo EvilProxy, ir ārkārtīgi spēcīgs drauds, kas pārsniedz agrāk izmantoto mazāk sarežģīto pikšķerēšanas komplektu iespējas. Proti, pat daudzfaktoru autentifikācija (MFA) nav imūna pret šiem uzlabotajiem mākoņdatošanas draudiem.