EvilProxy Phishing Kit

Napansin ng mga mananaliksik ng Infosec ang isang nakakaalarmang trend ng mga aktor na nauugnay sa panloloko na unti-unting gumagamit ng Phishing-as-a-Service (PhaaS) toolkit na pinangalanang EvilProxy. Ang malware ay ini-deploy bilang isang paraan upang ayusin ang mga pag-atake sa pagkuha ng account na may partikular na pagtuon sa mga executive sa mga kilalang organisasyon.

Ang naturang kampanya sa pag-atake ay naobserbahan na gumagamit ng hybrid na diskarte na gumagamit ng malaking halaga sa mga functionality ng EvilProxy toolkit. Ang layunin ay mag-target ng malaking bilang ng Microsoft 365 user account, na nagtatapos sa pamamahagi ng humigit-kumulang 120,000 phishing email sa maraming organisasyon sa buong mundo sa loob ng timeframe ng Marso hanggang Hunyo 2023.

Kapansin-pansin, sa maraming nakompromisong user, halos 39% ang natukoy bilang mga C-level executive. Binubuo ito ng mga CEO na bumubuo ng 9% at CFO na nagkakaloob ng 17%. Nakatuon din ang mga pag-atakeng ito sa mga tauhan na may access sa mga sensitibong mapagkukunang pinansyal o kritikal na impormasyon. Kahanga-hanga, hindi bababa sa 35% ng lahat ng nakompromisong user ang nag-opt para sa mga karagdagang layer ng seguridad ng account.

Ipinapahiwatig ng mga eksperto sa cybersecurity na ang mga naka-orkestra na kampanyang ito ay direktang tugon sa pinataas na pagpapatupad ng multi-factor authentication (MFA) sa loob ng mga negosyo. Dahil dito, inangkop ng mga banta ng aktor ang kanilang mga diskarte upang malampasan ang mga bagong hadlang sa seguridad sa pamamagitan ng pagsasama ng adversary-in-the-middle (AitM) phishing kit. Ang mga kit na ito ay ginawa upang kumuha ng mga kredensyal, session cookies, at isang beses na password, sa gayon ay nagbibigay-daan sa mga umaatake na malaman, sa real-time, kung ang isang phished na user ay may mataas na antas ng kahalagahan. Ang tumpak na pagkakakilanlan na ito ay nagbibigay-daan sa mga umaatake na mabilis na makakuha ng access sa account, na nakatuon sa kanilang mga pagsisikap sa mga mapagkakakitaang target habang binabalewala ang mga hindi gaanong mahalagang mga profile.

Ang mga Phishing Kit Tulad ng EvilProxy ay Nagbibigay-daan sa Mga Cybercriminal na Mababang Kasanayan na Magsagawa ng Mga Sopistikadong Pag-atake

Ang EvilProxy ay unang iniulat ng mga mananaliksik noong Setyembre 2022 nang ipakita nila ang kakayahan nitong ikompromiso ang mga user account na nauugnay sa iba't ibang kilalang platform, kabilang ang Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, at Yandex, bukod sa iba pa. Ang toolkit na ito ay ibinebenta bilang isang serbisyo ng subscription, na magagamit sa isang batayang rate na $400 bawat buwan. Gayunpaman, ang gastos ay maaaring tumaas sa $600 para sa pag-target sa mga Google account, na nagpapakita ng mas mataas na halaga na nauugnay sa mga kredensyal na iyon.

Ang mga toolkit ng Phishing-as-a-Service (PhaaS) ay kumakatawan sa isang kapansin-pansing ebolusyon sa landscape ng cybercrime, na epektibong binabawasan ang mga hadlang sa pagpasok para sa mga kriminal na hindi gaanong may kasanayan sa teknikal. Ang ebolusyon na ito ay nagbibigay-daan sa pagpapatupad ng mga sopistikadong pag-atake ng phishing sa isang malaking sukat, habang pinapanatili ang isang walang putol at cost-efficient na diskarte.

Ang pagkakaroon ng mga banta na may tulad na prangka at madaling gamitin sa badyet na mga interface ay nagresulta sa isang makabuluhang pagtaas sa matagumpay na multi-factor authentication (MFA) na mga aktibidad sa phishing. Ang trend na ito ay nagpapahiwatig ng pagbabago sa mga taktika na ginagamit ng mga cybercriminal, na nagpapahintulot sa kanila na mahusay na pagsamantalahan ang mga kahinaan ng mga MFA system at palakasin ang laki ng kanilang mga pag-atake.

Gumagamit ang EvilProxy Threat Actor ng Mga Mapanlinlang na Email para Hikayatin ang Mga Walang Pag-aalinlangan na Biktima

Ang mga naitalang operasyon ng pag-atake ay nagsisimula sa pamamahagi ng mga phishing na email na nagpapakilala ng mga pinagkakatiwalaang serbisyo tulad ng Adobe at DocuSign. Ang mapanlinlang na diskarte na ito ay naglalayong akitin ang mga tatanggap na makipag-ugnayan sa mga nakakahamak na URL na matatagpuan sa loob ng mga email. Kapag na-click na ang mga URL na ito, ma-trigger ang isang multi-stage na sequence ng redirection. Ang layunin ay dalhin ang target patungo sa isang Microsoft 365 na kamukha ng login page, na matalinong idinisenyo upang gayahin ang tunay na portal. Ang huwad na pahina sa pag-log in ay gumaganap bilang isang reverse proxy, lihim na kumukuha ng impormasyong isinumite sa pamamagitan ng form.

Ang isang kapansin-pansing elemento sa loob ng kampanyang ito ay ang sinasadya nitong pagbubukod ng trapiko ng user na nagmula sa mga Turkish IP address. Ang partikular na trapikong ito ay na-redirect sa mga lehitimong website, na nagpapahiwatig ng posibilidad na ang mga orkestrator ng kampanya ay maaaring nagmula sa bansang iyon.

Sa sandaling makamit ang isang matagumpay na account takeover, ang mga aktor ng pagbabanta ay magpapatuloy na magtatag ng matatag na foothold sa loob ng cloud environment ng organisasyon. Nagagawa ito sa pamamagitan ng pagpapakilala ng sarili nilang paraan ng multi-factor authentication (MFA), gaya ng two-factor authenticator app. Tinitiyak ng madiskarteng hakbang na ito na mapanatili ng mga banta ng aktor ang pare-parehong malayuang pag-access, pinapadali ang paggalaw sa gilid sa loob ng system at ang paglaganap ng karagdagang malware.

Ang nakuhang access ay magagamit para sa mga layunin ng monetization. Maaaring piliin ng mga aktor ng pagbabanta na makisali sa pandaraya sa pananalapi, i-exfiltrate ang kumpidensyal na data, o kahit na magbenta ng mga nakompromisong user account sa iba pang malisyosong entity. Sa kasalukuyang dynamic na landscape ng pagbabanta, ang mga reverse proxy threat—partikular na ipinakita ng EvilProxy—ay isang napakalakas na banta, na lumalampas sa mga kakayahan ng mga hindi gaanong sopistikadong phishing kit na ginamit sa nakaraan. Kapansin-pansin, kahit na ang multi-factor authentication (MFA) ay hindi immune sa mga advanced na cloud-based na banta na ito.