ЕвилПроки пхисхинг Кит

Истраживачи Инфосец-а су приметили алармантан тренд актера у вези са преварама који прогресивно користе комплет алата Пхисхинг-ас-а-Сервице (ПхааС) под називом ЕвилПроки. Малвер се примењује као начин да се оркестрирају напади преузимања налога са посебним фокусом на руководиоце у истакнутим организацијама.

Таква кампања напада је примећена коришћењем хибридне стратегије која капитализује функционалност ЕвилПроки алата. Циљ је да се циља на значајан број Мицрософт 365 корисничких налога, што ће кулминирати дистрибуцијом приближно 120.000 пхисхинг порука е-поште у мноштву организација широм света у периоду од марта до јуна 2023.

Значајно је да је међу бројним компромитованим корисницима скоро 39% идентификовано као руководиоци Ц нивоа. Ово укључује извршне директоре који чине 9% и финансијске директоре који чине 17%. Ови напади се такође концентришу на особље које има приступ осетљивим финансијским ресурсима или критичним информацијама. Импресивно, не мање од 35% свих компромитованих корисника се одлучило за додатне слојеве безбедности налога.

Стручњаци за сајбер безбедност указују на то да су ове оркестриране кампање директан одговор на појачану примену вишефакторске аутентификације (МФА) у предузећима. Сходно томе, актери претњи су прилагодили своје стратегије како би превазишли нове безбедносне баријере тако што су уградили противник у средини (АитМ) пхисхинг комплете. Ови комплети су осмишљени да хватају акредитиве, колачиће сесије и једнократне лозинке, чиме се омогућавају нападачима да у реалном времену разазнају да ли је лажни корисник од великог значаја. Ова прецизна идентификација омогућава нападачима да брзо добију приступ налогу, фокусирајући своје напоре на уносне мете, занемарујући мање вредне профиле.

Комплети за пхисхинг као што је ЕвилПроки омогућавају ниже квалификованим сајбер криминалцима да изводе софистициране нападе

Истраживачи су првобитно пријавили ЕвилПроки у септембру 2022. када су открили његову способност да компромитују корисничке налоге повезане са различитим истакнутим платформама, укључујући Аппле иЦлоуд, Фацебоок, ГоДадди, ГитХуб, Гоогле, Дропбок, Инстаграм, Мицрософт, НПМ, ПиПИ, РубиГемс, Твиттер, Иахоо и Иандек, између осталих. Овај комплет алата се продаје као услуга претплате, доступна по основној стопи од 400 УСД месечно. Међутим, цена може ескалирати на 600 УСД за циљање Гоогле налога, што одражава већу вредност повезану са тим акредитивима.

Пакети алатки за пхисхинг-ас-а-сервице (ПхааС) представљају значајну еволуцију у области сајбер криминала, ефективно смањујући баријере за улазак за мање технички обучене криминалце. Ова еволуција омогућава извођење софистицираних пхисхинг напада у великим размерама, уз одржавање беспрекорног и економичног приступа.

Доступност претњи са тако једноставним и јефтиним интерфејсима резултирала је значајним порастом успешних активности пхисхинг-а са вишефакторском аутентификацијом (МФА). Овај тренд означава промену тактике коју користе сајбер криминалци, омогућавајући им да ефикасно искористе рањивост МФА система и појачају обим својих напада.

Актери претње ЕвилПроки користе лажне е-поруке да намаме несуђене жртве

Снимљене операције напада почињу дистрибуцијом пхисхинг порука е-поште које преузимају маску поузданих услуга као што су Адобе и ДоцуСигн. Овај лажни приступ има за циљ да намами примаоце у интеракцију са злонамерним УРЛ-овима који се налазе у имејловима. Када се кликне на ове УРЛ адресе, покреће се вишестепена секвенца преусмеравања. Циљ је да се циљ одведе ка страници за пријаву налик на Мицрософт 365, паметно дизајнираној да опонаша аутентични портал. Фалсификована страница за пријаву делује као обрнути прокси, дискретно хватајући информације достављене путем обрасца.

Значајан елемент у овој кампањи је њено намерно искључивање корисничког саобраћаја који потиче са турских ИП адреса. Овај посебан саобраћај се преусмерава на легитимне веб-сајтове, наговештавајући могућност да оркестратори кампање можда потичу из те земље.

Једном када се постигне успешно преузимање налога, актери претњи настављају да успостављају чврсто упориште унутар окружења у облаку организације. Ово се постиже увођењем сопствене методе вишефакторске аутентикације (МФА), као што је апликација за аутентификацију са два фактора. Овај стратешки потез осигурава да актери претње могу да одржавају доследан даљински приступ, олакшавајући бочно кретање унутар система и ширење додатног малвера.

Стечени приступ се затим користи у сврхе монетизације. Актери претњи могу изабрати да се упусте у финансијску превару, ексфилтрирају поверљиве податке или чак продају компромитоване корисничке налоге другим злонамерним ентитетима. У садашњем динамичком окружењу претњи, претње обрнутим прокси сервером—посебно примером ЕвилПроки—су изузетно моћна претња, која превазилази могућности мање софистицираних комплета за крађу идентитета који су коришћени у прошлости. Значајно је да чак ни вишефакторска аутентификација (МФА) није имуна на ове напредне претње засноване на облаку.