Kompleti i phishing EvilProxy

Studiuesit e Infosec kanë vënë re një prirje alarmante të aktorëve të lidhur me mashtrimin që përdorin në mënyrë progresive një paketë veglash Phishing-as-a-Service (PhaaS) të quajtur EvilProxy. Malware është duke u vendosur si një mënyrë për të orkestruar sulmet e marrjes së llogarisë me një fokus të veçantë te drejtuesit në organizata të shquara.

Një fushatë e tillë sulmi është vërejtur duke përdorur një strategji hibride që përfiton nga funksionalitetet e veglave EvilProxy. Objektivi është të synohet një numër i konsiderueshëm i llogarive të përdoruesve të Microsoft 365, duke kulmuar me shpërndarjen e afërsisht 120,000 email-eve phishing nëpër një mori organizatash në mbarë botën brenda kornizës kohore nga marsi deri në qershor 2023.

Në mënyrë domethënëse, midis përdoruesve të shumtë të komprometuar, gati 39% janë identifikuar si drejtues të nivelit C. Kjo përfshin CEO që përbëjnë 9% dhe CFO që përbëjnë 17%. Këto sulme përqendrohen gjithashtu te personeli që ka akses në burime të ndjeshme financiare ose informacione kritike. Në mënyrë mbresëlënëse, jo më pak se 35% e të gjithë përdoruesve të komprometuar kishin zgjedhur shtresat shtesë të sigurisë së llogarisë.

Ekspertët e sigurisë kibernetike tregojnë se këto fushata të orkestruara janë një përgjigje e drejtpërdrejtë ndaj zbatimit të shtuar të vërtetimit me shumë faktorë (MFA) brenda ndërmarrjeve. Rrjedhimisht, aktorët e kërcënimit kanë përshtatur strategjitë e tyre për të kapërcyer barrierat e reja të sigurisë duke përfshirë kuti phishing të kundërshtarit në mes (AitM). Këto komplete janë krijuar për të kapur kredencialet, skedarët e sesionit dhe fjalëkalimet një herë, duke lejuar kështu sulmuesit të dallojnë, në kohë reale, nëse një përdorues i phished është i një rëndësie të nivelit të lartë. Ky identifikim i saktë u mundëson sulmuesve të fitojnë me shpejtësi akses në llogari, duke i fokusuar përpjekjet e tyre në objektiva fitimprurës duke shpërfillur profilet më pak të vlefshme.

Kompletet e phishing si EvilProxy lejojnë kriminelët kibernetikë me aftësi më të ulëta të kryejnë sulme të sofistikuara

EvilProxy fillimisht u raportua nga studiuesit në shtator 2022 kur ata zbuluan aftësinë e tij për të kompromentuar llogaritë e përdoruesve të lidhur me platforma të ndryshme të shquara, duke përfshirë Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo dhe Yandex, ndër të tjera. Kjo paketë veglash tregtohet si një shërbim abonimi, i disponueshëm me një tarifë bazë prej 400 dollarë në muaj. Megjithatë, kostoja mund të përshkallëzohet në 600 dollarë për shënjestrimin e llogarive të Google, duke reflektuar vlerën më të lartë të lidhur me ato kredenciale.

Paketat e veglave të phishing-as-a-service (PhaaS) përfaqësojnë një evolucion të dukshëm në peizazhin e krimit kibernetik, duke reduktuar në mënyrë efektive barrierat e hyrjes për kriminelët më pak të aftë teknikisht. Ky evolucion mundëson ekzekutimin e sulmeve të sofistikuara të phishing në një shkallë të gjerë, të gjitha duke ruajtur një qasje të qetë dhe me kosto efektive.

Disponueshmëria e kërcënimeve me ndërfaqe të tilla të drejtpërdrejta dhe miqësore me buxhetin ka rezultuar në një rritje të konsiderueshme në aktivitetet e suksesshme të phishing të vërtetimit me shumë faktorë (MFA). Ky trend nënkupton një ndryshim në taktikat e përdorura nga kriminelët kibernetikë, duke i lejuar ata të shfrytëzojnë në mënyrë efikase dobësitë e sistemeve të MPJ-së dhe të përforcojnë shkallën e sulmeve të tyre.

Aktorët e Kërcënimit të EvilProxy përdorin emaile mashtruese për të joshur viktima që nuk dyshojnë

Operacionet e sulmeve të regjistruara fillojnë me shpërndarjen e emaileve phishing që adoptojnë maskën e shërbimeve të besuara si Adobe dhe DocuSign. Kjo qasje mashtruese ka për qëllim joshjen e marrësve që të ndërveprojnë me URL-të me qëllim të keq që gjenden brenda emaileve. Pasi klikohen këto URL, aktivizohet një sekuencë ridrejtimi me shumë faza. Qëllimi është të çoni objektivin drejt një faqeje hyrjeje të ngjashme me Microsoft 365, e krijuar me zgjuarsi për të imituar portalin autentik. Faqja e identifikimit e falsifikuar vepron si një përfaqësues i kundërt, duke kapur në mënyrë diskrete informacionin e paraqitur përmes formularit.

Një element i dukshëm brenda kësaj fushate është përjashtimi i qëllimshëm i trafikut të përdoruesve me origjinë nga adresat IP turke. Ky trafik i veçantë ridrejtohet në uebsajte legjitime, duke lënë të kuptohet se orkestruesit e fushatës mund të kenë origjinën e tyre në atë vend.

Pasi të arrihet një kontroll i suksesshëm i llogarisë, aktorët e kërcënimit vazhdojnë të krijojnë një bazë të fortë brenda mjedisit cloud të organizatës. Kjo arrihet duke prezantuar metodën e tyre të vërtetimit me shumë faktorë (MFA), siç është një aplikacion vërtetues me dy faktorë. Kjo lëvizje strategjike siguron që aktorët e kërcënimit të mund të mbajnë qasje të qëndrueshme në distancë, duke lehtësuar lëvizjen anësore brenda sistemit dhe përhapjen e malware shtesë.

Qasja e fituar më pas përdoret për qëllime fitimi parash. Aktorët e kërcënimit mund të zgjedhin të përfshihen në mashtrime financiare, të nxjerrin të dhëna konfidenciale, apo edhe të shesin llogari të komprometuara të përdoruesve te subjektet e tjera me qëllim të keq. Në peizazhin aktual të kërcënimeve dinamike, kërcënimet me përfaqësues të kundërt - të ilustruar në mënyrë specifike nga EvilProxy - janë një kërcënim jashtëzakonisht i fuqishëm, duke tejkaluar aftësitë e kompleteve më pak të sofistikuara të phishing të përdorura në të kaluarën. Veçanërisht, edhe vërtetimi me shumë faktorë (MFA) nuk është imun ndaj këtyre kërcënimeve të avancuara të bazuara në renë kompjuterike.