EvilProxy Phishing Kit

Výskumníci spoločnosti Infosec zaznamenali alarmujúci trend, keď aktéri v súvislosti s podvodmi postupne využívajú súpravu nástrojov Phishing-as-a-Service (PhaaS) s názvom EvilProxy. Malvér sa nasadzuje ako spôsob organizovania útokov na prevzatie účtu s osobitným zameraním na vedúcich pracovníkov v prominentných organizáciách.

Takáto útočná kampaň bola pozorovaná pri použití hybridnej stratégie, ktorá využíva funkcie súpravy nástrojov EvilProxy. Cieľom je zamerať sa na značný počet používateľských účtov Microsoft 365, čo vyvrcholí distribúciou približne 120 000 phishingových e-mailov medzi množstvo organizácií po celom svete v časovom rámci od marca do júna 2023.

Je príznačné, že spomedzi mnohých napadnutých používateľov je takmer 39 % identifikovaných ako vedúcich pracovníkov na úrovni C. To zahŕňa generálnych riaditeľov, ktorí tvoria 9% a CFO tvoria 17%. Tieto útoky sa sústreďujú aj na personál, ktorý má prístup k citlivým finančným zdrojom alebo kritickým informáciám. Je pôsobivé, že najmenej 35 % všetkých napadnutých používateľov si zvolilo doplnkové vrstvy zabezpečenia účtu.

Odborníci na kybernetickú bezpečnosť uvádzajú, že tieto organizované kampane sú priamou odpoveďou na intenzívnejšiu implementáciu viacfaktorovej autentifikácie (MFA) v podnikoch. V dôsledku toho aktéri hrozieb prispôsobili svoje stratégie tak, aby prekonali nové bezpečnostné bariéry začlenením súprav na phishing typu AitM (Adversary-in-the-middle). Tieto súpravy sú navrhnuté tak, aby zachytávali poverenia, súbory cookie relácie a jednorazové heslá, čím umožňujú útočníkom v reálnom čase rozpoznať, či má phishingový používateľ vysokú dôležitosť. Táto presná identifikácia umožňuje útočníkom rýchlo získať prístup k účtu, pričom svoje úsilie zameria na lukratívne ciele bez ohľadu na menej hodnotné profily.

Phishingové súpravy ako EvilProxy umožňujú menej kvalifikovaným kyberzločincom vykonávať sofistikované útoky

EvilProxy pôvodne ohlásili výskumníci v septembri 2022, keď odhalili jeho schopnosť kompromitovať používateľské účty spojené s rôznymi prominentnými platformami vrátane Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo a Yandex, medzi inými. Táto sada nástrojov sa predáva ako predplatiteľská služba, ktorá je k dispozícii za základnú sadzbu 400 USD mesačne. Náklady sa však môžu zvýšiť na 600 USD za zacielenie na účty Google, čo odráža vyššiu hodnotu spojenú s týmito povereniami.

Súbory nástrojov Phishing-as-a-Service (PhaaS) predstavujú pozoruhodný vývoj v prostredí počítačovej kriminality a účinne znižujú prekážky vstupu pre menej technicky kvalifikovaných zločincov. Tento vývoj umožňuje vykonávať sofistikované phishingové útoky vo veľkom meradle, a to všetko pri zachovaní bezproblémového a nákladovo efektívneho prístupu.

Dostupnosť hrozieb s takýmito jednoduchými a cenovo výhodnými rozhraniami viedla k výraznému nárastu úspešných phishingových aktivít s viacfaktorovou autentifikáciou (MFA). Tento trend znamená posun v taktike, ktorú používajú kyberzločinci, čo im umožňuje efektívne využívať zraniteľné miesta systémov MFA a zväčšovať rozsah ich útokov.

Herci hrozieb EvilProxy používajú podvodné e-maily na lákanie nič netušiacich obetí

Zaznamenané útočné operácie začínajú distribúciou phishingových e-mailov, ktoré preberajú masku dôveryhodných služieb, ako sú Adobe a DocuSign. Tento podvodný prístup je zameraný na nalákanie príjemcov na interakciu so škodlivými adresami URL nachádzajúcimi sa v e-mailoch. Po kliknutí na tieto adresy URL sa spustí viacstupňová sekvencia presmerovania. Cieľom je priviesť cieľ k prihlasovacej stránke podobnej Microsoft 365, ktorá je šikovne navrhnutá tak, aby napodobňovala autentický portál. Falošná prihlasovacia stránka funguje ako spätný proxy server, ktorý diskrétne zachytáva informácie odoslané prostredníctvom formulára.

Pozoruhodným prvkom v rámci tejto kampane je jej zámerné vylúčenie návštevnosti používateľov z tureckých adries IP. Táto konkrétna návštevnosť je presmerovaná na legitímne webové stránky, čo naznačuje možnosť, že organizátori kampane môžu mať svoj pôvod v danej krajine.

Po úspešnom prevzatí účtu aktéri hrozieb pristúpia k vytvoreniu pevnej pozície v rámci cloudového prostredia organizácie. To sa dosahuje zavedením ich vlastnej metódy viacfaktorovej autentifikácie (MFA), ako je napríklad aplikácia dvojfaktorovej autentifikácie. Tento strategický krok zaisťuje, že aktéri hrozieb môžu udržiavať konzistentný vzdialený prístup, čo uľahčuje bočný pohyb v rámci systému a šírenie ďalšieho škodlivého softvéru.

Získaný prístup sa potom využije na účely speňaženia. Aktéri hrozieb sa môžu rozhodnúť zapojiť sa do finančných podvodov, preniknúť do dôverných údajov alebo dokonca predať napadnuté používateľské účty iným škodlivým subjektom. V súčasnom dynamickom prostredí hrozieb sú reverzné proxy hrozby – konkrétne príkladom EvilProxy – mimoriadne silnou hrozbou, ktorá prevyšuje možnosti menej sofistikovaných phishingových súprav používaných v minulosti. Predovšetkým ani viacfaktorová autentifikácia (MFA) nie je imúnna voči týmto pokročilým cloudovým hrozbám.