Набор для фишинга EvilProxy

Исследователи Infosec заметили тревожную тенденцию к тому, что субъекты, связанные с мошенничеством, постепенно используют набор инструментов «Фишинг как услуга» (PhaaS) под названием EvilProxy. Вредоносная программа развертывается как способ организации атак с захватом учетных записей с особым упором на руководителей известных организаций.

Наблюдалась такая атака с использованием гибридной стратегии, основанной на функциональных возможностях инструментария EvilProxy. Цель состоит в том, чтобы нацелиться на значительное количество учетных записей пользователей Microsoft 365, что приведет к распространению примерно 120 000 фишинговых писем по множеству организаций по всему миру в период с марта по июнь 2023 года.

Примечательно, что среди многочисленных скомпрометированных пользователей почти 39% идентифицированы как руководители высшего звена. Это включает генеральных директоров, составляющих 9%, и финансовых директоров, составляющих 17%. Эти атаки также сосредоточены на персонале, который имеет доступ к конфиденциальным финансовым ресурсам или важной информации. Впечатляет, что не менее 35% всех скомпрометированных пользователей выбрали дополнительные уровни безопасности учетной записи.

Эксперты по кибербезопасности указывают, что эти организованные кампании являются прямым ответом на усиленное внедрение многофакторной аутентификации (MFA) на предприятиях. Следовательно, злоумышленники адаптировали свои стратегии для преодоления новых барьеров безопасности, включив в них наборы фишинговых атак злоумышленника посередине (AitM). Эти наборы предназначены для сбора учетных данных, файлов cookie сеанса и одноразовых паролей, что позволяет злоумышленникам в режиме реального времени определять, имеет ли фишинговый пользователь высокий уровень важности. Эта точная идентификация позволяет злоумышленникам быстро получить доступ к учетной записи, сосредоточив свои усилия на прибыльных целях, игнорируя менее ценные профили.

Фишинговые наборы, такие как EvilProxy, позволяют киберпреступникам с более низкой квалификацией проводить изощренные атаки

Исследователи впервые сообщили о EvilProxy в сентябре 2022 года, когда они представили его способность взломать учетные записи пользователей, связанные с различными известными платформами, включая Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Яндекс и другие. Этот инструментарий продается как услуга по подписке, доступная по базовой цене 400 долларов США в месяц. Однако стоимость таргетинга на учетные записи Google может возрасти до 600 долларов США, что отражает более высокую ценность, связанную с этими учетными данными.

Наборы инструментов «Фишинг как услуга» (PhaaS) представляют собой заметную эволюцию в сфере киберпреступности, эффективно снижая входные барьеры для менее технически квалифицированных преступников. Эта эволюция позволяет выполнять изощренные фишинговые атаки в больших масштабах, сохраняя при этом простой и экономичный подход.

Доступность угроз с такими простыми и экономичными интерфейсами привела к значительному росту числа успешных фишинговых операций с многофакторной аутентификацией (MFA). Эта тенденция означает изменение тактики, используемой киберпреступниками, что позволяет им эффективно использовать уязвимости систем МФА и увеличивать масштаб своих атак.

Злоумышленники EvilProxy используют мошеннические электронные письма, чтобы заманить ничего не подозревающих жертв

Зарегистрированные операции атаки начинаются с рассылки фишинговых писем, которые принимают вид доверенных сервисов, таких как Adobe и DocuSign. Этот обманный подход направлен на то, чтобы заманить получателей к взаимодействию с вредоносными URL-адресами, найденными в электронных письмах. После нажатия на эти URL-адреса запускается многоступенчатая последовательность перенаправления. Цель состоит в том, чтобы направить цель на страницу входа, похожую на Microsoft 365, искусно разработанную для имитации подлинного портала. Поддельная страница входа действует как обратный прокси-сервер, дискретно перехватывая информацию, отправленную через форму.

Примечательным элементом этой кампании является преднамеренное исключение пользовательского трафика с турецких IP-адресов. Этот конкретный трафик перенаправляется на законные веб-сайты, что намекает на возможность того, что организаторы кампании могут быть родом из этой страны.

После успешного захвата учетной записи злоумышленники приступают к прочному закреплению в облачной среде организации. Это достигается за счет внедрения собственного метода многофакторной аутентификации (MFA), такого как приложение для двухфакторной аутентификации. Этот стратегический шаг гарантирует, что злоумышленники смогут поддерживать постоянный удаленный доступ, облегчая горизонтальное перемещение внутри системы и распространение дополнительных вредоносных программ.

Полученный доступ затем используется в целях монетизации. Злоумышленники могут принять решение о финансовом мошенничестве, краже конфиденциальных данных или даже продаже скомпрометированных учетных записей пользователей другим злоумышленникам. В текущей динамичной среде угроз обратные прокси-угрозы, примером которых является EvilProxy, представляют собой чрезвычайно серьезную угрозу, превосходящую возможности менее сложных фишинговых наборов, использовавшихся в прошлом. Примечательно, что даже многофакторная аутентификация (MFA) не застрахована от этих сложных облачных угроз.