EvilProxy Phishing-kit

Infosec-onderzoekers hebben een alarmerende trend opgemerkt van fraudegerelateerde actoren die geleidelijk een Phishing-as-a-Service (PhaaS)-toolkit genaamd EvilProxy gebruiken. De malware wordt ingezet als een manier om aanvallen op het overnemen van accounts te orkestreren, met een specifieke focus op leidinggevenden in vooraanstaande organisaties.

Er is waargenomen dat een dergelijke aanvalscampagne een hybride strategie gebruikt die profiteert van de functionaliteiten van de EvilProxy-toolkit. Het doel is om een aanzienlijk aantal Microsoft 365-gebruikersaccounts aan te vallen, met als hoogtepunt de verspreiding van ongeveer 120.000 phishing-e-mails over een groot aantal organisaties over de hele wereld in de periode van maart tot juni 2023.

Het is veelbetekenend dat van de vele gecompromitteerde gebruikers bijna 39% wordt geïdentificeerd als leidinggevenden op C-niveau. Dit omvat CEO's die 9% uitmaken en CFO's die 17% vertegenwoordigen. Deze aanvallen concentreren zich ook op personeel dat toegang heeft tot gevoelige financiële bronnen of kritieke informatie. Indrukwekkend genoeg had niet minder dan 35% van alle gecompromitteerde gebruikers gekozen voor aanvullende lagen van accountbeveiliging.

Cybersecurity-experts geven aan dat deze georkestreerde campagnes een direct antwoord zijn op de verhoogde implementatie van multi-factor authenticatie (MFA) binnen ondernemingen. Bijgevolg hebben bedreigingsactoren hun strategieën aangepast om de nieuwe beveiligingsbarrières te overwinnen door adversary-in-the-middle (AitM) phishing-kits op te nemen. Deze kits zijn ontworpen om referenties, sessiecookies en eenmalige wachtwoorden vast te leggen, waardoor aanvallers in realtime kunnen onderscheiden of een gephishte gebruiker van hoog niveau is. Deze nauwkeurige identificatie stelt de aanvallers in staat om snel toegang te krijgen tot het account, hun inspanningen te richten op lucratieve doelen en minder waardevolle profielen te negeren.

Met phishingkits zoals EvilProxy kunnen laaggeschoolde cybercriminelen geavanceerde aanvallen uitvoeren

EvilProxy werd voor het eerst gemeld door onderzoekers in september 2022 toen ze de mogelijkheid onthulden om gebruikersaccounts te compromitteren die zijn gekoppeld aan verschillende prominente platforms, waaronder Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Onder andere Yahoo en Yandex. Deze toolkit wordt op de markt gebracht als een abonnementsservice, beschikbaar tegen een basistarief van $ 400 per maand. De kosten kunnen echter oplopen tot $ 600 voor het targeten van Google-accounts, wat de hogere waarde weerspiegelt die aan die inloggegevens is gekoppeld.

Phishing-as-a-Service (PhaaS)-toolkits vertegenwoordigen een opmerkelijke evolutie in het landschap van cybercriminaliteit, waardoor de toetredingsdrempels voor minder technisch onderlegde criminelen effectief worden verlaagd. Deze evolutie maakt het mogelijk om geavanceerde phishing-aanvallen op grote schaal uit te voeren, en dat alles met behoud van een naadloze en kostenefficiënte aanpak.

De beschikbaarheid van bedreigingen met zulke eenvoudige en budgetvriendelijke interfaces heeft geresulteerd in een aanzienlijke toename van succesvolle multi-factor authenticatie (MFA) phishing-activiteiten. Deze trend betekent een verschuiving in de tactieken van cybercriminelen, waardoor ze de kwetsbaarheden van MFA-systemen efficiënt kunnen uitbuiten en de omvang van hun aanvallen kunnen vergroten.

EvilProxy-bedreigingsactoren gebruiken frauduleuze e-mails om nietsvermoedende slachtoffers te lokken

De geregistreerde aanvalsoperaties beginnen met de verspreiding van phishing-e-mails die zich voordoen als vertrouwde services zoals Adobe en DocuSign. Deze bedrieglijke aanpak is bedoeld om ontvangers te verleiden tot interactie met kwaadaardige URL's die in de e-mails worden gevonden. Zodra op deze URL's is geklikt, wordt een omleidingsreeks in meerdere fasen geactiveerd. Het doel is om het doelwit naar een Microsoft 365-lookalike inlogpagina te leiden, slim ontworpen om de authentieke portal na te bootsen. De vervalste inlogpagina fungeert als een omgekeerde proxy en legt op discrete wijze de via het formulier ingediende informatie vast.

Een opvallend element binnen deze campagne is de bewuste uitsluiting van gebruikersverkeer afkomstig van Turkse IP-adressen. Dit specifieke verkeer wordt omgeleid naar legitieme websites, wat duidt op de mogelijkheid dat de campagne-organisatoren hun oorsprong in dat land hebben.

Zodra een succesvolle accountovername is bereikt, gaan de bedreigingsactoren verder met het vestigen van vaste voet aan de grond binnen de cloudomgeving van de organisatie. Dit wordt bereikt door hun eigen multi-factor authenticatie (MFA) -methode te introduceren, zoals een tweefactorauthenticatie-app. Deze strategische stap zorgt ervoor dat de bedreigingsactoren consistente toegang op afstand kunnen behouden, waardoor zijwaartse bewegingen binnen het systeem en de verspreiding van extra malware worden vergemakkelijkt.

De verkregen toegang wordt vervolgens gebruikt voor het genereren van inkomsten. Bedreigers kunnen ervoor kiezen om financiële fraude te plegen, vertrouwelijke gegevens te exfiltreren of zelfs gecompromitteerde gebruikersaccounts aan andere kwaadwillende entiteiten te verkopen. In het huidige dynamische dreigingslandschap vormen reverse proxy-bedreigingen, specifiek geïllustreerd door EvilProxy, een buitengewoon krachtige bedreiging, die de mogelijkheden van de minder geavanceerde phishing-kits die in het verleden werden gebruikt, overtreft. Met name is zelfs multi-factor authenticatie (MFA) niet immuun voor deze geavanceerde cloudgebaseerde bedreigingen.