Kit Pancingan Data EvilProxy

Penyelidik Infosec telah melihat trend membimbangkan pelakon berkaitan penipuan secara progresif menggunakan kit alat Phishing-as-a-Service (PhaaS) bernama EvilProxy. Perisian hasad sedang digunakan sebagai cara untuk mengatur serangan pengambilalihan akaun dengan tumpuan khusus kepada eksekutif dalam organisasi terkemuka.

Kempen serangan sedemikian telah diperhatikan menggunakan strategi hibrid yang memanfaatkan kefungsian kit alat EvilProxy. Objektifnya adalah untuk menyasarkan sejumlah besar akaun pengguna Microsoft 365, yang memuncak dengan pengedaran kira-kira 120,000 e-mel pancingan data merentasi pelbagai organisasi di seluruh dunia dalam jangka masa Mac hingga Jun 2023.

Secara ketara, di antara banyak pengguna yang terjejas, hampir 39% dikenal pasti sebagai eksekutif peringkat C. Ini terdiri daripada CEO yang membentuk 9% dan CFO menyumbang 17%. Serangan ini juga tertumpu kepada kakitangan yang mempunyai akses kepada sumber kewangan sensitif atau maklumat kritikal. Hebatnya, tidak kurang daripada 35% daripada semua pengguna yang terjejas telah memilih lapisan tambahan keselamatan akaun.

Pakar keselamatan siber menunjukkan bahawa kempen yang dirancang ini adalah tindak balas langsung kepada pelaksanaan yang dipertingkatkan pengesahan pelbagai faktor (MFA) dalam perusahaan. Akibatnya, pelaku ancaman telah menyesuaikan strategi mereka untuk mengatasi halangan keselamatan baharu dengan memasukkan kit pancingan data musuh di tengah (AitM). Kit ini direka untuk menangkap bukti kelayakan, kuki sesi dan kata laluan sekali, dengan itu membenarkan penyerang untuk membezakan, dalam masa nyata, sama ada pengguna pancingan data mempunyai kepentingan peringkat tinggi. Pengenalpastian yang tepat ini membolehkan penyerang mendapat akses kepada akaun dengan pantas, memfokuskan usaha mereka pada sasaran yang menguntungkan sambil mengabaikan profil yang kurang bernilai.

Kit Phishing Seperti EvilProxy Membolehkan Penjenayah Siber Berkemahiran Rendah Melakukan Serangan Canggih

EvilProxy pada mulanya dilaporkan oleh penyelidik pada September 2022 apabila mereka mendedahkan keupayaannya untuk menjejaskan akaun pengguna yang dikaitkan dengan pelbagai platform terkemuka, termasuk Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, dan Yandex, antara lain. Kit alat ini dipasarkan sebagai perkhidmatan langganan, tersedia pada kadar asas $400 sebulan. Walau bagaimanapun, kos boleh meningkat kepada $600 untuk menyasarkan akaun Google, mencerminkan nilai yang lebih tinggi yang dikaitkan dengan kelayakan tersebut.

Kit alatan Phishing-as-a-Service (PhaaS) mewakili evolusi yang ketara dalam landskap jenayah siber, dengan berkesan mengurangkan halangan kemasukan untuk penjenayah yang kurang mahir dari segi teknikal. Evolusi ini membolehkan pelaksanaan serangan pancingan data yang canggih pada skala besar, sambil mengekalkan pendekatan yang lancar dan menjimatkan kos.

Ketersediaan ancaman dengan antara muka yang ringkas dan mesra bajet telah menghasilkan peningkatan yang ketara dalam aktiviti pancingan data pengesahan pelbagai faktor (MFA) yang berjaya. Aliran ini menandakan peralihan dalam taktik yang digunakan oleh penjenayah siber, membolehkan mereka mengeksploitasi kelemahan sistem MFA dengan cekap dan meningkatkan skala serangan mereka.

Pelakon Ancaman EvilProxy Menggunakan E-mel Penipuan untuk Memikat Mangsa Yang Tidak Mengesyaki

Operasi serangan yang direkodkan bermula dengan pengedaran e-mel pancingan data yang menggunakan samaran perkhidmatan yang dipercayai seperti Adobe dan DocuSign. Pendekatan menipu ini bertujuan untuk memikat penerima supaya berinteraksi dengan URL berniat jahat yang terdapat dalam e-mel. Setelah URL ini diklik, urutan ubah hala berbilang peringkat dicetuskan. Matlamatnya adalah untuk membawa sasaran ke arah halaman log masuk serupa Microsoft 365, direka dengan bijak untuk meniru portal tulen. Halaman log masuk palsu bertindak sebagai proksi terbalik, menangkap maklumat yang dihantar melalui borang secara diam-diam.

Elemen ketara dalam kempen ini ialah pengecualian trafik pengguna yang disengajakan daripada alamat IP Turki. Trafik khusus ini diubah hala ke tapak web yang sah, membayangkan kemungkinan bahawa pengatur kempen mungkin berasal dari negara itu.

Sebaik sahaja pengambilalihan akaun yang berjaya dicapai, pelaku ancaman meneruskan untuk mewujudkan tapak yang kukuh dalam persekitaran awan organisasi. Ini dicapai dengan memperkenalkan kaedah pengesahan berbilang faktor (MFA) mereka sendiri, seperti apl pengesah dua faktor. Langkah strategik ini memastikan bahawa pelaku ancaman dapat mengekalkan akses jauh yang konsisten, memudahkan pergerakan sisi dalam sistem dan percambahan perisian hasad tambahan.

Akses yang diperoleh kemudiannya dimanfaatkan untuk tujuan pengewangan. Pelaku ancaman boleh memilih untuk terlibat dalam penipuan kewangan, mengeluarkan data sulit, atau bahkan menjual akaun pengguna yang terjejas kepada entiti berniat jahat yang lain. Dalam landskap ancaman dinamik semasa, ancaman proksi terbalik—yang dicontohkan secara khusus oleh EvilProxy—adalah ancaman yang sangat kuat, mengatasi keupayaan kit pancingan data yang kurang canggih yang digunakan pada masa lalu. Terutama, walaupun pengesahan berbilang faktor (MFA) tidak terlepas daripada ancaman berasaskan awan lanjutan ini.