Zestaw phishingowy EvilProxy

Badacze firmy Infosec zauważyli niepokojący trend polegający na tym, że podmioty powiązane z oszustwami stopniowo wykorzystują zestaw narzędzi Phishing-as-a-Service (PhaaS) o nazwie EvilProxy. Szkodliwe oprogramowanie jest wdrażane jako sposób na organizowanie ataków polegających na przejęciu konta, ze szczególnym uwzględnieniem kadry kierowniczej w znanych organizacjach.

Zaobserwowano taką kampanię ataków wykorzystującą strategię hybrydową, która wykorzystuje funkcje zestawu narzędzi EvilProxy. Celem jest atak na znaczną liczbę kont użytkowników Microsoft 365, którego kulminacją jest dystrybucja około 120 000 e-maili phishingowych w wielu organizacjach na całym świecie w okresie od marca do czerwca 2023 r.

Co istotne, wśród wielu zaatakowanych użytkowników prawie 39% to kierownicy najwyższego szczebla. Obejmuje to prezesów stanowiących 9% i dyrektorów finansowych stanowiących 17%. Ataki te koncentrują się również na personelu, który ma dostęp do poufnych zasobów finansowych lub krytycznych informacji. Co imponujące, nie mniej niż 35% wszystkich zaatakowanych użytkowników wybrało dodatkowe warstwy zabezpieczeń kont.

Eksperci ds. cyberbezpieczeństwa wskazują, że te zorganizowane kampanie są bezpośrednią odpowiedzią na zwiększone wdrażanie uwierzytelniania wieloskładnikowego (MFA) w przedsiębiorstwach. W związku z tym cyberprzestępcy dostosowali swoje strategie, aby pokonać nowe bariery bezpieczeństwa, wykorzystując zestawy phishingowe typu adversary-in-the-middle (AitM). Zestawy te zostały opracowane w celu przechwytywania danych uwierzytelniających, sesyjnych plików cookie i haseł jednorazowych, umożliwiając w ten sposób atakującym rozpoznanie w czasie rzeczywistym, czy wyłudzony użytkownik ma duże znaczenie. Ta dokładna identyfikacja umożliwia atakującym szybkie uzyskanie dostępu do konta, koncentrując swoje wysiłki na intratnych celach, ignorując mniej wartościowe profile.

Zestawy phishingowe, takie jak EvilProxy, umożliwiają nisko wykwalifikowanym cyberprzestępcom przeprowadzanie wyrafinowanych ataków

EvilProxy został po raz pierwszy zgłoszony przez badaczy we wrześniu 2022 r., kiedy ujawnili jego zdolność do narażania kont użytkowników powiązanych z różnymi znanymi platformami, w tym Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo i Yandex, między innymi. Ten zestaw narzędzi jest sprzedawany jako usługa subskrypcyjna, dostępna za podstawową stawkę 400 USD miesięcznie. Jednak koszt kierowania na konta Google może wzrosnąć do 600 USD, co odzwierciedla wyższą wartość związaną z tymi danymi uwierzytelniającymi.

Zestawy narzędzi Phishing-as-a-Service (PhaaS) reprezentują znaczącą ewolucję w krajobrazie cyberprzestępczości, skutecznie zmniejszając bariery wejścia dla mniej wykwalifikowanych przestępców. Ta ewolucja umożliwia przeprowadzanie wyrafinowanych ataków phishingowych na dużą skalę, a wszystko to przy zachowaniu bezproblemowego i ekonomicznego podejścia.

Dostępność zagrożeń z tak prostymi i niedrogimi interfejsami spowodowała znaczny wzrost udanych działań phishingowych związanych z uwierzytelnianiem wieloskładnikowym (MFA). Tendencja ta oznacza zmianę taktyki stosowanej przez cyberprzestępców, pozwalającą im skutecznie wykorzystywać luki w systemach MFA i zwiększać skalę ataków.

Aktorzy zagrożeń EvilProxy wykorzystują oszukańcze wiadomości e-mail, aby zwabić niczego niepodejrzewające ofiary

Zarejestrowane operacje ataków rozpoczynają się od dystrybucji e-maili phishingowych podszywających się pod zaufane usługi, takie jak Adobe i DocuSign. To oszukańcze podejście ma na celu zwabienie odbiorców do interakcji ze złośliwymi adresami URL znajdującymi się w wiadomościach e-mail. Po kliknięciu tych adresów URL uruchamiana jest wieloetapowa sekwencja przekierowań. Celem jest skierowanie celu na stronę logowania przypominającą platformę Microsoft 365, sprytnie zaprojektowaną tak, aby naśladować autentyczny portal. Fałszywa strona logowania działa jak odwrotne proxy, dyskretnie przechwytując informacje przesłane za pośrednictwem formularza.

Godnym uwagi elementem tej kampanii jest celowe wykluczenie ruchu użytkowników pochodzącego z tureckich adresów IP. Ten konkretny ruch jest przekierowywany do legalnych stron internetowych, co wskazuje na możliwość, że organizatorzy kampanii mogą pochodzić z tego kraju.

Po pomyślnym przejęciu konta cyberprzestępcy przystępują do ustanowienia stabilnego przyczółka w środowisku chmurowym organizacji. Osiąga się to poprzez wprowadzenie własnej metody uwierzytelniania wieloskładnikowego (MFA), takiej jak aplikacja do uwierzytelniania dwuskładnikowego. To strategiczne posunięcie gwarantuje, że cyberprzestępcy będą mogli utrzymać spójny dostęp zdalny, ułatwiając boczne przemieszczanie się w systemie i rozprzestrzenianie dodatkowego złośliwego oprogramowania.

Uzyskany dostęp jest następnie wykorzystywany do celów monetyzacji. Aktorzy stanowiący zagrożenie mogą angażować się w oszustwa finansowe, eksfiltrować poufne dane, a nawet sprzedawać przejęte konta użytkowników innym złośliwym podmiotom. W obecnym dynamicznym krajobrazie zagrożeń zagrożenia odwrotnego proxy — w szczególności EvilProxy — są niezwykle potężnym zagrożeniem, przewyższającym możliwości mniej wyrafinowanych zestawów phishingowych wykorzystywanych w przeszłości. Warto zauważyć, że nawet uwierzytelnianie wieloskładnikowe (MFA) nie jest odporne na te zaawansowane zagrożenia oparte na chmurze.