EvilProxy Phishing Kit

Infosec-forskare har märkt en alarmerande trend av bedrägerirelaterade aktörer som successivt använder en Phishing-as-a-Service (PhaaS) verktygslåda som heter EvilProxy. Skadlig programvara distribueras som ett sätt att orkestrera kontoövertagandeattacker med särskilt fokus på chefer i framstående organisationer.

En sådan attackkampanj har observerats med en hybridstrategi som utnyttjar funktionerna i verktygslådan EvilProxy. Målet är att rikta in sig på ett stort antal Microsoft 365-användarkonton, vilket kulminerar i distributionen av cirka 120 000 nätfiske-e-postmeddelanden över en mängd organisationer världen över inom tidsramen mars till juni 2023.

Av de många komprometterade användarna är det viktigt att nästan 39 % identifieras som chefer på C-nivå. Detta omfattar VD:ar som utgör 9% och CFO:er som står för 17%. Dessa attacker koncentreras också på personal som har tillgång till känsliga ekonomiska resurser eller kritisk information. Imponerande nog hade inte mindre än 35 % av alla utsatta användare valt ytterligare lager av kontosäkerhet.

Cybersäkerhetsexperter indikerar att dessa orkestrerade kampanjer är ett direkt svar på den ökade implementeringen av multifaktorautentisering (MFA) inom företag. Följaktligen har hotaktörer anpassat sina strategier för att övervinna de nya säkerhetsbarriärerna genom att införliva AitM-nätfiske-kit (adversary-in-the-middle). Dessa kit är utformade för att fånga inloggningsuppgifter, sessionscookies och engångslösenord, vilket gör det möjligt för angriparna att i realtid urskilja om en nätfiskad användare är av betydelse på hög nivå. Denna exakta identifiering gör det möjligt för angriparna att snabbt få tillgång till kontot, fokusera sina ansträngningar på lukrativa mål samtidigt som de bortser från mindre värdefulla profiler.

Nätfiskepaket som EvilProxy tillåter lägre kvalificerade cyberbrottslingar att utföra sofistikerade attacker

EvilProxy rapporterades ursprungligen av forskare i september 2022 när de avslöjade dess förmåga att äventyra användarkonton associerade med olika framstående plattformar, inklusive Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo och Yandex, bland andra. Denna verktygslåda marknadsförs som en prenumerationstjänst, tillgänglig till en baspris på $400 per månad. Kostnaden kan dock eskalera till 600 USD för inriktning på Google-konton, vilket återspeglar det högre värdet som är förknippat med dessa uppgifter.

Phishing-as-a-Service (PhaaS) verktygssatser representerar en anmärkningsvärd utveckling i cyberbrottslandskapet, vilket effektivt minskar inträdesbarriärerna för mindre tekniskt skickliga brottslingar. Denna utveckling möjliggör exekvering av sofistikerade nätfiskeattacker i stor skala, allt samtidigt som ett sömlöst och kostnadseffektivt tillvägagångssätt bibehålls.

Tillgängligheten av hot med så enkla och budgetvänliga gränssnitt har resulterat i en betydande ökning av framgångsrika multi-factor authentication (MFA) phishing-aktiviteter. Denna trend innebär en förändring i taktiken som används av cyberbrottslingar, vilket gör det möjligt för dem att effektivt utnyttja sårbarheterna i MFA-system och förstärka omfattningen av deras attacker.

EvilProxy-hotskådespelare använder bedrägliga e-postmeddelanden för att locka intet ont anande offer

De inspelade attackoperationerna börjar med distribution av nätfiske-e-postmeddelanden som antar skepnaden av betrodda tjänster som Adobe och DocuSign. Detta bedrägliga tillvägagångssätt syftar till att locka mottagare att interagera med skadliga webbadresser som finns i e-postmeddelandena. När du klickar på dessa webbadresser utlöses en omdirigeringssekvens i flera steg. Målet är att ta målet mot en Microsoft 365-liknande inloggningssida, smart designad för att efterlikna den autentiska portalen. Den förfalskade inloggningssidan fungerar som en omvänd proxy, som diskret fångar informationen som skickas via formuläret.

Ett anmärkningsvärt inslag i denna kampanj är dess avsiktliga uteslutning av användartrafik som kommer från turkiska IP-adresser. Denna specifika trafik omdirigeras till legitima webbplatser, vilket antyder möjligheten att kampanjarrangörerna kan ha sitt ursprung i det landet.

När ett framgångsrikt kontoövertagande har uppnåtts fortsätter hotaktörerna för att etablera ett fast fotfäste inom organisationens molnmiljö. Detta åstadkoms genom att introducera sin egen multifaktorautentiseringsmetod (MFA), till exempel en tvåfaktorsautentiseringsapp. Detta strategiska drag säkerställer att hotaktörerna kan upprätthålla konsekvent fjärråtkomst, vilket underlättar sidorörelse inom systemet och spridningen av ytterligare skadlig programvara.

Den förvärvade åtkomsten utnyttjas sedan för intäktsgenereringsändamål. Hotaktörer kan välja att ägna sig åt ekonomiskt bedrägeri, exfiltrera konfidentiell data eller till och med sälja komprometterade användarkonton till andra skadliga enheter. I det nuvarande dynamiska hotlandskapet är omvända proxy-hot – specifikt exemplifierade av EvilProxy – ett oerhört potent hot, som överträffar kapaciteten hos de mindre sofistikerade nätfiskepaketen som användes tidigare. Noterbart är att inte ens multifaktorautentisering (MFA) är immun mot dessa avancerade molnbaserade hot.