EvilProxy Phishing Kit

Infosec-forskere har lagt merke til en alarmerende trend med svindelrelaterte aktører som gradvis bruker et Phishing-as-a-Service (PhaaS) verktøysett kalt EvilProxy. Skadevaren blir distribuert som en måte å orkestrere kontoovertakelsesangrep med et spesifikt fokus på ledere i fremtredende organisasjoner.

En slik angrepskampanje har blitt observert ved å bruke en hybridstrategi som utnytter funksjonene til EvilProxy-verktøysettet. Målet er å målrette mot et betydelig antall Microsoft 365-brukerkontoer, som kulminerer med distribusjon av omtrent 120 000 phishing-e-poster på tvers av en rekke organisasjoner over hele verden innen tidsrammen fra mars til juni 2023.

Det er betydelig, blant de mange kompromitterte brukerne, er nesten 39 % identifisert som ledere på C-nivå. Dette omfatter administrerende direktører som utgjør 9 % og finansdirektører som står for 17 %. Disse angrepene konsentrerer seg også om personell som har tilgang til sensitive økonomiske ressurser eller kritisk informasjon. Imponerende nok hadde ikke mindre enn 35 % av alle kompromitterte brukere valgt ekstra lag med kontosikkerhet.

Eksperter på nettsikkerhet indikerer at disse orkestrerte kampanjene er en direkte respons på den økte implementeringen av multifaktorautentisering (MFA) i bedrifter. Følgelig har trusselaktører tilpasset sine strategier for å overvinne de nye sikkerhetsbarrierene ved å innlemme motstander-i-midten (AitM) phishing-sett. Disse settene er utviklet for å fange opp legitimasjon, øktinformasjonskapsler og engangspassord, og dermed tillate angriperne å skjelne i sanntid om en phished-bruker er viktig på høyt nivå. Denne nøyaktige identifiseringen gjør det mulig for angriperne å raskt få tilgang til kontoen, og fokuserer innsatsen på lukrative mål mens de ser bort fra mindre verdifulle profiler.

Phishing-sett som EvilProxy lar cyberkriminelle med lavere kompetanse utføre sofistikerte angrep

EvilProxy ble opprinnelig rapportert av forskere i september 2022 da de avslørte dens evne til å kompromittere brukerkontoer knyttet til forskjellige fremtredende plattformer, inkludert Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo og Yandex, blant andre. Dette verktøysettet markedsføres som en abonnementstjeneste, tilgjengelig til en basispris på $400 per måned. Kostnaden kan imidlertid eskalere til $600 for å målrette Google-kontoer, noe som gjenspeiler den høyere verdien knyttet til denne legitimasjonen.

Phishing-as-a-Service (PhaaS)-verktøysett representerer en bemerkelsesverdig utvikling i landskapet for nettkriminalitet, som effektivt reduserer inngangsbarrierene for mindre teknisk dyktige kriminelle. Denne utviklingen gjør det mulig å utføre sofistikerte phishing-angrep i stor skala, samtidig som den opprettholder en sømløs og kostnadseffektiv tilnærming.

Tilgjengeligheten av trusler med slike enkle og budsjettvennlige grensesnitt har resultert i en betydelig økning i vellykkede multi-faktor autentisering (MFA) phishing-aktiviteter. Denne trenden betyr et skifte i taktikken som brukes av nettkriminelle, som lar dem effektivt utnytte sårbarhetene til MFA-systemer og forsterke omfanget av angrepene deres.

EvilProxy-trusselskuespillere bruker uredelige e-poster for å lokke intetanende ofre

De registrerte angrepsoperasjonene begynner med distribusjon av phishing-e-poster som tar form av pålitelige tjenester som Adobe og DocuSign. Denne svikefulle tilnærmingen er rettet mot å lokke mottakere til å samhandle med ondsinnede nettadresser som finnes i e-postene. Når disse nettadressene er klikket, utløses en flertrinns omdirigeringssekvens. Målet er å ta målet mot en Microsoft 365-lignende påloggingsside, smart designet for å etterligne den autentiske portalen. Den falske påloggingssiden fungerer som en omvendt proxy, og fanger diskret opp informasjonen som sendes inn via skjemaet.

Et bemerkelsesverdig element i denne kampanjen er den bevisste ekskluderingen av brukertrafikk som stammer fra tyrkiske IP-adresser. Denne spesifikke trafikken blir omdirigert til legitime nettsteder, og antyder muligheten for at kampanjeorganisatorene kan ha sin opprinnelse i det landet.

Når en vellykket kontoovertakelse er oppnådd, fortsetter trusselaktørene for å etablere et solid fotfeste i organisasjonens skymiljø. Dette oppnås ved å introdusere deres egen multi-faktor autentisering (MFA) metode, for eksempel en to-faktor autentisering app. Dette strategiske grepet sikrer at trusselaktørene kan opprettholde konsekvent ekstern tilgang, noe som letter sideveis bevegelse i systemet og spredning av ytterligere skadelig programvare.

Den ervervede tilgangen utnyttes deretter for inntektsformål. Trusselaktører kan velge å engasjere seg i økonomisk svindel, eksfiltrere konfidensielle data eller til og med selge kompromitterte brukerkontoer til andre ondsinnede enheter. I det nåværende dynamiske trussellandskapet er reverse proxy-trusler – spesifikt eksemplifisert av EvilProxy – en ekstremt potent trussel, som overgår mulighetene til de mindre sofistikerte phishing-settene som ble brukt tidligere. Spesielt, selv multi-faktor autentisering (MFA) er ikke immun mot disse avanserte skybaserte truslene.