Komplet za lažno predstavljanje EvilProxy

Raziskovalci Infosec so opazili zaskrbljujoč trend akterjev, povezanih z goljufijami, ki postopoma uporabljajo komplet orodij Phishing-as-a-Service (PhaaS), imenovan EvilProxy. Zlonamerna programska oprema se uporablja kot način orkestriranja napadov na prevzem računov s posebnim poudarkom na vodilnih v uglednih organizacijah.

Takšna napadalna kampanja je bila opažena z uporabo hibridne strategije, ki izkorišča funkcionalnosti kompleta orodij EvilProxy. Cilj je ciljati na precejšnje število uporabniških računov Microsoft 365, kar bo doseglo vrhunec z distribucijo približno 120.000 e-poštnih sporočil z lažnim predstavljanjem v množici organizacij po vsem svetu v časovnem okviru od marca do junija 2023.

Pomembno je, da je med številnimi ogroženimi uporabniki skoraj 39 % identificiranih kot vodilni na ravni C. To vključuje izvršne direktorje, ki predstavljajo 9 %, in finančne direktorje, ki predstavljajo 17 %. Ti napadi so osredotočeni tudi na osebje, ki ima dostop do občutljivih finančnih virov ali kritičnih informacij. Presenetljivo je, da se je nič manj kot 35 % vseh ogroženih uporabnikov odločilo za dodatne ravni varnosti računa.

Strokovnjaki za kibernetsko varnost kažejo, da so te orkestrirane kampanje neposreden odgovor na okrepljeno izvajanje večfaktorske avtentikacije (MFA) v podjetjih. Posledično so akterji groženj prilagodili svoje strategije za premagovanje novih varnostnih ovir z vključitvijo kompletov za lažno predstavljanje nasprotnika v sredini (AitM). Ti kompleti so zasnovani za zajemanje poverilnic, sejnih piškotkov in enkratnih gesel, s čimer napadalcem omogočajo, da v realnem času ugotovijo, ali je lažni uporabnik zelo pomemben. Ta natančna identifikacija napadalcem omogoča hiter dostop do računa, pri čemer svoja prizadevanja osredotoča na donosne tarče, medtem ko ne upošteva manj vrednih profilov.

Kompleti za lažno predstavljanje, kot je EvilProxy, omogočajo manj kvalificiranim kiberkriminalcem izvajanje prefinjenih napadov

Raziskovalci so o EvilProxy sprva poročali septembra 2022, ko so razkrili njegovo zmožnost ogrožanja uporabniških računov, povezanih z različnimi uglednimi platformami, vključno z Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Med drugim Yahoo in Yandex. Ta komplet orodij se trži kot naročniška storitev, ki je na voljo po osnovni ceni 400 USD na mesec. Vendar pa lahko stroški narastejo na 600 USD za ciljanje na Googlove račune, kar odraža višjo vrednost, povezano s temi poverilnicami.

Kompleti orodij Phishing-as-a-Service (PhaaS) predstavljajo pomemben razvoj na področju kibernetske kriminalitete, saj učinkovito zmanjšujejo vstopne ovire za manj tehnično usposobljene kriminalce. Ta razvoj omogoča izvajanje sofisticiranih napadov lažnega predstavljanja v velikem obsegu, pri tem pa ohranja brezhiben in stroškovno učinkovit pristop.

Razpoložljivost groženj s tako enostavnimi in proračunu prijaznimi vmesniki je povzročila znaten porast uspešnih dejavnosti lažnega predstavljanja z večfaktorsko avtentikacijo (MFA). Ta trend pomeni premik v taktikah kibernetskih kriminalcev, ki jim omogoča učinkovito izkoriščanje ranljivosti sistemov MFA in povečanje obsega njihovih napadov.

Akterji groženj EvilProxy uporabljajo lažna e-poštna sporočila, da privabijo nič hudega sluteče žrtve

Zabeležene operacije napada se začnejo z distribucijo e-poštnih sporočil z lažnim predstavljanjem, ki prevzamejo krinko zaupanja vrednih storitev, kot sta Adobe in DocuSign. Namen tega zavajajočega pristopa je zvabiti prejemnike v interakcijo z zlonamernimi URL-ji, najdenimi v e-poštnih sporočilih. Ko se te URL-je klikne, se sproži večstopenjsko zaporedje preusmeritev. Cilj je cilj popeljati do prijavne strani, podobne Microsoft 365, ki je pametno zasnovana tako, da posnema pristni portal. Ponarejena stran za prijavo deluje kot povratni posrednik in diskretno zajame podatke, poslane prek obrazca.

Pomemben element v tej kampanji je namerna izključitev uporabniškega prometa, ki izvira iz turških naslovov IP. Ta poseben promet je preusmerjen na zakonita spletna mesta, kar namiguje na možnost, da bi organizatorji kampanje lahko izvirali iz te države.

Ko je dosežen uspešen prevzem računa, akterji groženj nadaljujejo z vzpostavitvijo trdne opore v okolju oblaka organizacije. To dosežejo z uvedbo lastne metode večfaktorske avtentikacije (MFA), kot je aplikacija za dvofaktorsko avtentifikacijo. Ta strateška poteza zagotavlja, da akterji groženj lahko vzdržujejo dosleden oddaljeni dostop, kar olajša bočno premikanje znotraj sistema in širjenje dodatne zlonamerne programske opreme.

Pridobljeni dostop se nato uporabi za namene monetizacije. Akterji groženj se lahko odločijo za finančno goljufijo, izločijo zaupne podatke ali celo prodajo ogrožene uporabniške račune drugim zlonamernim subjektom. V trenutni dinamični pokrajini groženj so grožnje povratnega posrednika – posebej ponazarja EvilProxy – izjemno močna grožnja, ki presega zmogljivosti manj sofisticiranih kompletov za lažno predstavljanje, ki so se uporabljali v preteklosti. Predvsem tudi večfaktorska avtentikacija (MFA) ni imuna na te napredne grožnje v oblaku.