EvilProxy ਫਿਸ਼ਿੰਗ ਕਿੱਟ

Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ EvilProxy ਨਾਮ ਦੀ ਇੱਕ ਫਿਸ਼ਿੰਗ-ਏ-ਏ-ਸਰਵਿਸ (PhaaS) ਟੂਲਕਿੱਟ ਦੀ ਹੌਲੀ-ਹੌਲੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਦਾਕਾਰਾਂ ਦੇ ਇੱਕ ਚਿੰਤਾਜਨਕ ਰੁਝਾਨ ਨੂੰ ਦੇਖਿਆ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਪ੍ਰਮੁੱਖ ਸੰਸਥਾਵਾਂ ਵਿੱਚ ਕਾਰਜਕਾਰੀ ਅਧਿਕਾਰੀਆਂ 'ਤੇ ਖਾਸ ਫੋਕਸ ਦੇ ਨਾਲ ਖਾਤਾ ਟੇਕਓਵਰ ਹਮਲਿਆਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਦੇ ਇੱਕ ਤਰੀਕੇ ਵਜੋਂ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।

ਅਜਿਹੀ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਨੂੰ ਇੱਕ ਹਾਈਬ੍ਰਿਡ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ ਜੋ EvilProxy ਟੂਲਕਿੱਟ ਦੀਆਂ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਪੂੰਜੀ ਬਣਾਉਂਦਾ ਹੈ। ਉਦੇਸ਼ ਮਾਈਕ੍ਰੋਸਾਫਟ 365 ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਦੀ ਇੱਕ ਵੱਡੀ ਸੰਖਿਆ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਹੈ, ਮਾਰਚ ਤੋਂ ਜੂਨ 2023 ਦੀ ਸਮਾਂ ਸੀਮਾ ਦੇ ਅੰਦਰ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਬਹੁਤ ਸਾਰੇ ਸੰਗਠਨਾਂ ਵਿੱਚ ਲਗਭਗ 120,000 ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਵੰਡ ਦੇ ਨਤੀਜੇ ਵਜੋਂ।

ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ, ਬਹੁਤ ਸਾਰੇ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾਵਾਂ ਵਿੱਚੋਂ, ਲਗਭਗ 39% ਦੀ ਪਛਾਣ ਸੀ-ਪੱਧਰ ਦੇ ਕਾਰਜਕਾਰੀ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਵਿੱਚ 9% CEOs ਅਤੇ 17% ਲਈ CFOs ਸ਼ਾਮਲ ਹਨ। ਇਹ ਹਮਲੇ ਉਹਨਾਂ ਕਰਮਚਾਰੀਆਂ 'ਤੇ ਵੀ ਕੇਂਦ੍ਰਿਤ ਹੁੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਕੋਲ ਸੰਵੇਦਨਸ਼ੀਲ ਵਿੱਤੀ ਸਰੋਤਾਂ ਜਾਂ ਨਾਜ਼ੁਕ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਹੁੰਦੀ ਹੈ। ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਤੌਰ 'ਤੇ, ਸਾਰੇ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾਵਾਂ ਵਿੱਚੋਂ 35% ਤੋਂ ਘੱਟ ਨੇ ਖਾਤਾ ਸੁਰੱਖਿਆ ਦੀਆਂ ਪੂਰਕ ਪਰਤਾਂ ਦੀ ਚੋਣ ਕੀਤੀ ਸੀ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ ਕਿ ਇਹ ਆਰਕੇਸਟ੍ਰੇਟਡ ਮੁਹਿੰਮਾਂ ਉੱਦਮਾਂ ਦੇ ਅੰਦਰ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (ਐਮਐਫਏ) ਦੇ ਵਧੇ ਹੋਏ ਲਾਗੂ ਕਰਨ ਲਈ ਸਿੱਧਾ ਜਵਾਬ ਹਨ। ਸਿੱਟੇ ਵਜੋਂ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਵਿਰੋਧੀ-ਇਨ-ਦ-ਮਿਡਲ (AitM) ਫਿਸ਼ਿੰਗ ਕਿੱਟਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਕੇ ਨਵੀਂ ਸੁਰੱਖਿਆ ਰੁਕਾਵਟਾਂ ਨੂੰ ਪਾਰ ਕਰਨ ਲਈ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਇਆ ਹੈ। ਇਹ ਕਿੱਟਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਸੈਸ਼ਨ ਕੂਕੀਜ਼, ਅਤੇ ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਅਸਲ-ਸਮੇਂ ਵਿੱਚ ਇਹ ਪਤਾ ਲਗਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ ਕਿ ਕੀ ਇੱਕ ਫਿਸ਼ਡ ਉਪਭੋਗਤਾ ਉੱਚ-ਪੱਧਰੀ ਮਹੱਤਵ ਦਾ ਹੈ। ਇਹ ਸਟੀਕ ਪਛਾਣ ਹਮਲਾਵਰਾਂ ਨੂੰ ਘੱਟ ਕੀਮਤੀ ਪ੍ਰੋਫਾਈਲਾਂ ਦੀ ਅਣਦੇਖੀ ਕਰਦੇ ਹੋਏ, ਮੁਨਾਫ਼ੇ ਵਾਲੇ ਟੀਚਿਆਂ 'ਤੇ ਆਪਣੇ ਯਤਨਾਂ ਨੂੰ ਫੋਕਸ ਕਰਦੇ ਹੋਏ, ਖਾਤੇ ਤੱਕ ਤੇਜ਼ੀ ਨਾਲ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

EvilProxy ਵਰਗੀਆਂ ਫਿਸ਼ਿੰਗ ਕਿੱਟਾਂ ਹੇਠਲੇ-ਕੁਸ਼ਲ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਵਧੀਆ ਹਮਲੇ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀਆਂ ਹਨ

EvilProxy ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਸਤੰਬਰ 2022 ਵਿੱਚ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਸੀ ਜਦੋਂ ਉਹਨਾਂ ਨੇ Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter ਸਮੇਤ ਵੱਖ-ਵੱਖ ਪ੍ਰਮੁੱਖ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਜੁੜੇ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਆਪਣੀ ਸਮਰੱਥਾ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਸੀ। ਯਾਹੂ, ਅਤੇ ਯਾਂਡੇਕਸ, ਹੋਰਾਂ ਵਿੱਚ। ਇਸ ਟੂਲਕਿੱਟ ਨੂੰ ਗਾਹਕੀ ਸੇਵਾ ਦੇ ਤੌਰ 'ਤੇ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ $400 ਪ੍ਰਤੀ ਮਹੀਨਾ ਦੀ ਬੇਸ ਰੇਟ 'ਤੇ ਉਪਲਬਧ ਹੈ। ਹਾਲਾਂਕਿ, Google ਖਾਤਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਲਾਗਤ $600 ਤੱਕ ਵਧ ਸਕਦੀ ਹੈ, ਜੋ ਉਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਬੰਧਿਤ ਉੱਚ ਮੁੱਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਫਿਸ਼ਿੰਗ-ਏ-ਏ-ਸਰਵਿਸ (PhaaS) ਟੂਲਕਿੱਟਾਂ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਘੱਟ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਹੁਨਰਮੰਦ ਅਪਰਾਧੀਆਂ ਲਈ ਦਾਖਲੇ ਦੀਆਂ ਰੁਕਾਵਟਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਘਟਾਉਂਦੀਆਂ ਹਨ। ਇਹ ਵਿਕਾਸ ਇੱਕ ਸਹਿਜ ਅਤੇ ਲਾਗਤ-ਕੁਸ਼ਲ ਪਹੁੰਚ ਨੂੰ ਕਾਇਮ ਰੱਖਦੇ ਹੋਏ, ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਆਧੁਨਿਕ ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਅਜਿਹੇ ਸਿੱਧੇ ਅਤੇ ਬਜਟ-ਅਨੁਕੂਲ ਇੰਟਰਫੇਸਾਂ ਦੇ ਨਾਲ ਧਮਕੀਆਂ ਦੀ ਉਪਲਬਧਤਾ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਸਫਲ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਫਿਸ਼ਿੰਗ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਹੋਇਆ ਹੈ। ਇਹ ਰੁਝਾਨ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ MFA ਪ੍ਰਣਾਲੀਆਂ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਕੁਸ਼ਲਤਾ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਹਮਲਿਆਂ ਦੇ ਪੈਮਾਨੇ ਨੂੰ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

EvilProxy ਧਮਕੀ ਐਕਟਰ ਗੈਰ-ਸੰਪੰਨ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਧੋਖੇਬਾਜ਼ ਈਮੇਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ

ਰਿਕਾਰਡ ਕੀਤੇ ਹਮਲੇ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਵੰਡ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀਆਂ ਹਨ ਜੋ Adobe ਅਤੇ DocuSign ਵਰਗੀਆਂ ਭਰੋਸੇਯੋਗ ਸੇਵਾਵਾਂ ਦੀ ਆੜ ਨੂੰ ਅਪਣਾਉਂਦੀਆਂ ਹਨ। ਇਸ ਧੋਖੇਬਾਜ਼ ਪਹੁੰਚ ਦਾ ਉਦੇਸ਼ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਮਿਲੇ ਖਤਰਨਾਕ URL ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਲੁਭਾਉਣਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇਹਨਾਂ URL ਨੂੰ ਕਲਿੱਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਬਹੁ-ਪੜਾਅ ਰੀਡਾਇਰੈਕਸ਼ਨ ਕ੍ਰਮ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦਾ ਹੈ। ਟੀਚਾ ਮਾਈਕਰੋਸਾਫਟ 365 ਦਿੱਖ ਵਾਲੇ ਲੌਗਇਨ ਪੰਨੇ ਵੱਲ ਟੀਚੇ ਨੂੰ ਲੈ ਕੇ ਜਾਣਾ ਹੈ, ਜੋ ਕਿ ਚਤੁਰਾਈ ਨਾਲ ਪ੍ਰਮਾਣਿਕ ਪੋਰਟਲ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਨਕਲੀ ਲੌਗਇਨ ਪੰਨਾ ਇੱਕ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਫਾਰਮ ਦੁਆਰਾ ਜਮ੍ਹਾਂ ਕੀਤੀ ਗਈ ਜਾਣਕਾਰੀ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕੈਪਚਰ ਕਰਦਾ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦੇ ਅੰਦਰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤੱਤ ਤੁਰਕੀ ਦੇ IP ਪਤਿਆਂ ਤੋਂ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਉਪਭੋਗਤਾ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਣਬੁੱਝ ਕੇ ਬੇਦਖਲ ਕਰਨਾ ਹੈ। ਇਸ ਖਾਸ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਸੰਭਾਵਨਾ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ ਕਿ ਮੁਹਿੰਮ ਆਰਕੈਸਟਰੇਟਰਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਉਸ ਦੇਸ਼ ਵਿੱਚ ਹੋ ਸਕਦੀ ਹੈ।

ਇੱਕ ਵਾਰ ਇੱਕ ਸਫਲ ਖਾਤਾ ਟੇਕਓਵਰ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸੰਗਠਨ ਦੇ ਕਲਾਉਡ ਵਾਤਾਵਰਣ ਵਿੱਚ ਇੱਕ ਮਜ਼ਬੂਤ ਪੈਰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਦੀ ਆਪਣੀ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਵਿਧੀ, ਜਿਵੇਂ ਕਿ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਐਪ ਨੂੰ ਪੇਸ਼ ਕਰਕੇ ਪੂਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਰਣਨੀਤਕ ਕਦਮ ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਨਿਰੰਤਰ ਰਿਮੋਟ ਐਕਸੈਸ ਨੂੰ ਕਾਇਮ ਰੱਖ ਸਕਦੇ ਹਨ, ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਦੀ ਸਹੂਲਤ ਅਤੇ ਵਾਧੂ ਮਾਲਵੇਅਰ ਦੇ ਪ੍ਰਸਾਰ ਨੂੰ ਯਕੀਨੀ ਬਣਾ ਸਕਦੇ ਹਨ।

ਪ੍ਰਾਪਤ ਕੀਤੀ ਪਹੁੰਚ ਦਾ ਲਾਭ ਫਿਰ ਮੁਦਰੀਕਰਨ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ ਲਿਆ ਜਾਂਦਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ, ਗੁਪਤ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ, ਜਾਂ ਹੋਰ ਖਤਰਨਾਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨੂੰ ਵੇਚਣ ਦੀ ਚੋਣ ਕਰ ਸਕਦੇ ਹਨ। ਮੌਜੂਦਾ ਗਤੀਸ਼ੀਲ ਖ਼ਤਰੇ ਦੇ ਲੈਂਡਸਕੇਪ ਵਿੱਚ, ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਧਮਕੀਆਂ - ਖਾਸ ਤੌਰ 'ਤੇ EvilProxy ਦੁਆਰਾ ਉਦਾਹਰਣ - ਇੱਕ ਬਹੁਤ ਹੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਖ਼ਤਰਾ ਹੈ, ਜੋ ਕਿ ਅਤੀਤ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਘੱਟ ਆਧੁਨਿਕ ਫਿਸ਼ਿੰਗ ਕਿੱਟਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਪਛਾੜਦੀਆਂ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਵੀ ਇਹਨਾਂ ਉੱਨਤ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਖਤਰਿਆਂ ਤੋਂ ਮੁਕਤ ਨਹੀਂ ਹੈ।