Kit de phishing EvilProxy

Cercetătorii Infosec au observat o tendință alarmantă a actorilor legați de fraudă care utilizează progresiv un set de instrumente Phishing-as-a-Service (PhaaS) numit EvilProxy. Malware-ul este implementat ca o modalitate de a orchestra atacurile de preluare a conturilor, cu un accent special pe directorii din organizații proeminente.

O astfel de campanie de atac a fost observată folosind o strategie hibridă care valorifică funcționalitățile setului de instrumente EvilProxy. Obiectivul este de a viza un număr substanțial de conturi de utilizatori Microsoft 365, culminând cu distribuirea a aproximativ 120.000 de e-mailuri de phishing într-o multitudine de organizații din întreaga lume, în perioada martie-iunie 2023.

În mod semnificativ, dintre numeroșii utilizatori compromisi, aproape 39% sunt identificați ca directori de nivel C. Aceasta include directorii generali care constituie 9% și directorii financiari reprezentând 17%. Aceste atacuri se concentrează și asupra personalului care deține acces la resurse financiare sensibile sau la informații critice. În mod impresionant, nu mai puțin de 35% dintre toți utilizatorii compromisi au optat pentru straturi suplimentare de securitate a contului.

Experții în securitate cibernetică indică faptul că aceste campanii orchestrate sunt un răspuns direct la implementarea sporită a autentificării cu mai mulți factori (MFA) în cadrul întreprinderilor. În consecință, actorii amenințărilor și-au adaptat strategiile pentru a depăși noile bariere de securitate prin încorporarea kituri de phishing adversary-in-the-middle (AitM). Aceste kituri sunt concepute pentru a captura acreditări, cookie-uri de sesiune și parole unice, permițând astfel atacatorilor să discearnă, în timp real, dacă un utilizator phishing are o importanță la nivel înalt. Această identificare precisă le permite atacatorilor să obțină acces rapid la cont, concentrându-și eforturile pe ținte profitabile, fără a ține cont de profilurile mai puțin valoroase.

Kiturile de phishing precum EvilProxy permit infractorilor cibernetici cu calificare redusă să efectueze atacuri sofisticate

EvilProxy a fost raportat inițial de cercetători în septembrie 2022, când au dezvăluit capacitatea sa de a compromite conturile de utilizator asociate cu diverse platforme proeminente, inclusiv Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo și Yandex, printre altele. Acest set de instrumente este comercializat ca un serviciu de abonament, disponibil la o rată de bază de 400 USD pe lună. Cu toate acestea, costul poate crește la 600 USD pentru direcționarea conturilor Google, reflectând valoarea mai mare asociată acelor acreditări.

Seturile de instrumente Phishing-as-a-Service (PhaaS) reprezintă o evoluție notabilă în peisajul criminalității cibernetice, reducând efectiv barierele de intrare pentru criminalii mai puțin calificați din punct de vedere tehnic. Această evoluție permite executarea unor atacuri de phishing sofisticate la scară largă, toate menținând o abordare fără întreruperi și eficientă din punct de vedere al costurilor.

Disponibilitatea amenințărilor cu astfel de interfețe simple și prietenoase cu bugetul a dus la o creștere semnificativă a activităților de phishing de succes cu autentificare multifactor (MFA). Această tendință semnifică o schimbare a tacticilor folosite de infractorii cibernetici, permițându-le să exploateze eficient vulnerabilitățile sistemelor MFA și să amplifice amploarea atacurilor lor.

Actorii de amenințare EvilProxy folosesc e-mailuri frauduloase pentru a atrage victimele nebănuitoare

Operațiunile de atac înregistrate încep cu distribuirea de e-mailuri de phishing care adoptă masca unor servicii de încredere precum Adobe și DocuSign. Această abordare înșelătoare are scopul de a atrage destinatarii să interacționeze cu adrese URL rău intenționate găsite în e-mailuri. Odată ce se face clic pe aceste adrese URL, se declanșează o secvență de redirecționare în mai multe etape. Scopul este de a duce ținta către o pagină de conectare similară Microsoft 365, proiectată inteligent pentru a imita portalul autentic. Pagina de conectare contrafăcută acționează ca un proxy invers, captând discret informațiile transmise prin formular.

Un element notabil în cadrul acestei campanii este excluderea sa deliberată a traficului de utilizatori care provine de la adresele IP turcești. Acest trafic special este redirecționat către site-uri web legitime, sugerând posibilitatea ca orchestratorii campaniei să-și aibă originile în acea țară.

Odată ce se realizează o preluare cu succes a contului, actorii amenințărilor procedează să stabilească o poziție fermă în mediul cloud al organizației. Acest lucru se realizează prin introducerea propriei metode de autentificare cu mai mulți factori (MFA), cum ar fi o aplicație de autentificare cu doi factori. Această mișcare strategică asigură faptul că actorii amenințărilor pot menține un acces constant la distanță, facilitând mișcarea laterală în cadrul sistemului și proliferarea de malware suplimentar.

Accesul dobândit este apoi valorificat în scopuri de monetizare. Actorii amenințărilor pot alege să se implice în fraude financiare, să exfiltreze date confidențiale sau chiar să vândă conturi de utilizator compromise altor entități rău intenționate. În peisajul actual de amenințări dinamice, amenințările proxy inverse – exemplificate în mod special de EvilProxy – reprezintă o amenințare extrem de puternică, depășind capacitățile kituri de phishing mai puțin sofisticate utilizate în trecut. În special, chiar și autentificarea multi-factor (MFA) nu este imună la aceste amenințări avansate bazate pe cloud.