EvilProxy फिसिङ किट

Infosec अनुसन्धानकर्ताहरूले धोखाधडी-सम्बन्धित अभिनेताहरूको क्रमशः फिसिङ-ए-ए-सर्भिस (PhaaS) टूलकिटलाई EvilProxy नामक प्रयोग गर्ने डरलाग्दो प्रवृत्ति देखेका छन्। मालवेयर प्रमुख संस्थाहरूमा कार्यकारीहरूमा विशेष फोकसको साथ खाता टेकओभर आक्रमणहरू अर्केस्ट्रेट गर्ने तरिकाको रूपमा तैनात गरिएको छ।

यस्तो आक्रमण अभियानलाई हाइब्रिड रणनीति प्रयोग गर्ने अवलोकन गरिएको छ जसले EvilProxy टूलकिटको कार्यक्षमतालाई पूंजीकृत गर्दछ। उद्देश्य भनेको Microsoft 365 प्रयोगकर्ता खाताहरूको पर्याप्त संख्यालाई लक्षित गर्नु हो, जुन मार्च देखि जुन 2023 को समयसीमा भित्र विश्वव्यापी संगठनहरूको भीडमा लगभग 120,000 फिसिङ इमेलहरूको वितरणमा परिणत हुन्छ।

उल्लेखनीय रूपमा, धेरै सम्झौता गरिएका प्रयोगकर्ताहरू मध्ये, लगभग 39% सी-स्तर कार्यकारीहरूको रूपमा चिनिन्छन्। जसमा ९ प्रतिशत सीईओ र १७ प्रतिशत सीएफओ रहेको छ । यी आक्रमणहरू संवेदनशील वित्तीय स्रोत वा महत्वपूर्ण जानकारीमा पहुँच भएका कर्मचारीहरूमा पनि केन्द्रित हुन्छन्। प्रभावशाली रूपमा, सबै सम्झौता गरिएका प्रयोगकर्ताहरू मध्ये 35% भन्दा कमले खाता सुरक्षाको पूरक तहहरू रोजेका थिए।

साइबरसेक्युरिटी विशेषज्ञहरूले संकेत गर्छन् कि यी अर्केस्ट्रेटेड अभियानहरू उद्यमहरू भित्र बहु-कारक प्रमाणीकरण (MFA) को बढ्दो कार्यान्वयनको लागि प्रत्यक्ष प्रतिक्रिया हो। फलस्वरूप, खतरा अभिनेताहरूले विरोधी-इन-द-मिडल (AitM) फिसिङ किटहरू समावेश गरेर नयाँ सुरक्षा अवरोधहरू पार गर्न आफ्नो रणनीतिहरू अनुकूल गरेका छन्। यी किटहरू प्रमाणहरू, सत्र कुकीहरू, र एक-पटके पासवर्डहरू खिच्नका लागि बनाइएका छन्, जसले गर्दा आक्रमणकारीहरूलाई वास्तविक-समयमा, फिश प्रयोगकर्ता उच्च-स्तरको महत्त्वको छ कि छैन भनेर पत्ता लगाउन अनुमति दिन्छ। यो सटीक पहिचानले आक्रमणकारीहरूलाई कम मूल्यवान प्रोफाइलहरूलाई बेवास्ता गर्दै आकर्षक लक्ष्यहरूमा आफ्नो प्रयासहरूलाई केन्द्रित गर्दै, खातामा द्रुत रूपमा पहुँच प्राप्त गर्न सक्षम बनाउँछ।

EvilProxy जस्तै फिसिङ किटहरूले निम्न-कुशल साइबर अपराधीहरूलाई परिष्कृत आक्रमणहरू गर्न अनुमति दिन्छ

EvilProxy सुरुमा अनुसन्धानकर्ताहरूले सेप्टेम्बर 2022 मा रिपोर्ट गरेका थिए जब तिनीहरूले Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, सहित विभिन्न प्रमुख प्लेटफर्महरूसँग सम्बन्धित प्रयोगकर्ता खाताहरू सम्झौता गर्ने क्षमताको अनावरण गरे। याहू, र यान्डेक्स, अरूहरू बीच। यो टुलकिटलाई सदस्यता सेवाको रूपमा मार्केट गरिएको छ, प्रति महिना $ 400 को आधार दरमा उपलब्ध छ। यद्यपि, Google खाताहरूलाई लक्षित गर्नको लागि लागत $ 600 सम्म बढ्न सक्छ, ती प्रमाणहरूसँग सम्बन्धित उच्च मूल्य प्रतिबिम्बित गर्दछ।

फिसिङ-एज-ए-सर्भिस (PhaaS) टूलकिटहरूले कम प्राविधिक रूपमा दक्ष अपराधीहरूको लागि प्रवेश अवरोधहरूलाई प्रभावकारी रूपमा कम गर्दै साइबर अपराध परिदृश्यमा उल्लेखनीय विकासको प्रतिनिधित्व गर्दछ। यो इभोलुसनले सिमलेस र लागत-कुशल दृष्टिकोण कायम राख्दै, ठूलो मात्रामा परिष्कृत फिसिङ आक्रमणहरूको कार्यान्वयनलाई सक्षम बनाउँछ।

यस्ता सीधा र बजेट-अनुकूल इन्टरफेसहरूसँग खतराहरूको उपलब्धताले सफल बहु-कारक प्रमाणीकरण (MFA) फिसिङ गतिविधिहरूमा उल्लेखनीय वृद्धि भएको छ। यो प्रवृतिले साइबर अपराधीहरूद्वारा नियोजित रणनीतिहरूमा परिवर्तनको सङ्केत गर्दछ, उनीहरूलाई MFA प्रणालीहरूको कमजोरीहरूलाई प्रभावकारी रूपमा शोषण गर्न र तिनीहरूको आक्रमणको स्केललाई विस्तार गर्न अनुमति दिन्छ।

EvilProxy थ्रेट अभिनेताहरूले अप्रत्याशित पीडितहरूलाई प्रलोभित गर्न जालसाजी ईमेलहरू प्रयोग गर्छन्

रेकर्ड गरिएको आक्रमण कार्यहरू फिसिङ इमेलहरूको वितरणबाट सुरु हुन्छ जसले Adobe र DocuSign जस्ता विश्वसनीय सेवाहरूको आड अपनाउने गर्दछ। यो छलपूर्ण दृष्टिकोण इमेल भित्र पाइने दुर्भावनापूर्ण URL हरु संग अन्तरक्रिया गर्न को लागी प्राप्तकर्ताहरु लाई प्रलोभन को उद्देश्य हो। यी URL हरू क्लिक गरिसकेपछि, बहु-चरण पुन: निर्देशित अनुक्रम ट्रिगर हुन्छ। लक्ष्य भनेको माइक्रोसफ्ट 365 लुकलाइक लगइन पृष्ठ तिर लक्ष्य लिनु हो, चलाखीपूर्वक प्रामाणिक पोर्टलको नक्कल गर्न डिजाइन गरिएको। नक्कली लगइन पृष्ठले रिभर्स प्रोक्सीको रूपमा कार्य गर्दछ, फारम मार्फत पेश गरिएको जानकारीलाई गुप्त रूपमा कब्जा गर्दै।

यो अभियान भित्र एउटा उल्लेखनीय तत्व टर्की आईपी ठेगानाहरु बाट उत्पन्न प्रयोगकर्ता ट्राफिक को जानाजानी बहिष्कार छ। यो विशेष ट्राफिक वैध वेबसाइटहरूमा रिडिरेक्ट गरिएको छ, सम्भाव्यतामा संकेत गर्दै कि अभियान अर्केस्ट्रेटरहरूको उत्पत्ति त्यो देशमा हुन सक्छ।

एक पटक एक सफल खाता टेकओभर प्राप्त भएपछि, धम्की कर्ताहरूले संगठनको क्लाउड वातावरण भित्र एक दृढ खुट्टा स्थापित गर्न अगाडि बढ्छन्। यो तिनीहरूको आफ्नै बहु-कारक प्रमाणीकरण (MFA) विधि, जस्तै दुई-कारक प्रमाणक एप परिचय गरेर पूरा गरिएको छ। यो रणनीतिक चालले खतरा अभिनेताहरूले लगातार रिमोट पहुँच कायम राख्न, प्रणाली भित्र पार्श्व आन्दोलन र अतिरिक्त मालवेयरको प्रसारलाई सहज बनाउन सक्ने सुनिश्चित गर्दछ।

प्राप्त पहुँच त्यसपछि मुद्रीकरण उद्देश्यका लागि लिभरेज गरिन्छ। धम्की दिने व्यक्तिहरूले वित्तीय धोखाधडीमा संलग्न हुन, गोप्य डेटा बाहिर निकाल्न वा अन्य दुर्भावनापूर्ण संस्थाहरूलाई सम्झौता गरिएका प्रयोगकर्ता खाताहरू बेच्न पनि छनौट गर्न सक्छन्। हालको गतिशील खतरा ल्यान्डस्केपमा, रिभर्स प्रोक्सी धम्कीहरू-विशेष रूपमा EvilProxy द्वारा उदाहरण-विगतमा प्रयोग गरिएका कम परिष्कृत फिसिङ किटहरूको क्षमताहरूलाई पार गर्दै, अत्यन्त शक्तिशाली खतराहरू हुन्। उल्लेखनीय रूपमा, बहु-कारक प्रमाणीकरण (MFA) पनि यी उन्नत क्लाउड-आधारित खतराहरूबाट प्रतिरक्षा छैन।