Набір для фішингу EvilProxy

Дослідники Infosec помітили тривожну тенденцію, коли суб’єкти, пов’язані з шахрайством, поступово використовують набір інструментів Phishing-as-a-Service (PhaaS) під назвою EvilProxy. Зловмисне програмне забезпечення розгортається як спосіб організації атак захоплення облікових записів з особливим акцентом на керівників відомих організацій.

Така кампанія атаки спостерігалася з використанням гібридної стратегії, яка використовує функціональні можливості інструментарію EvilProxy. Мета полягає в тому, щоб націлитися на значну кількість облікових записів користувачів Microsoft 365, кульмінацією чого стане розповсюдження приблизно 120 000 фішингових електронних листів серед багатьох організацій по всьому світу протягом періоду часу з березня по червень 2023 року.

Важливо, що серед численних скомпрометованих користувачів майже 39% ідентифіковані як керівники рівня C. Сюди входять генеральні директори, що становлять 9%, і фінансові директори, що становлять 17%. Ці атаки також зосереджені на персоналі, який має доступ до конфіденційних фінансових ресурсів або важливої інформації. Вражаюче те, що не менше 35% усіх скомпрометованих користувачів вибрали додаткові рівні захисту облікових записів.

Експерти з кібербезпеки вказують, що ці організовані кампанії є прямою відповіддю на посилене впровадження багатофакторної автентифікації (MFA) на підприємствах. Відповідно, суб’єкти загрози адаптували свої стратегії для подолання нових бар’єрів безпеки, включивши комплекти фішингу «злочинник посередині» (AitM). Ці комплекти розроблено для захоплення облікових даних, сеансових файлів cookie та одноразових паролів, що дозволяє зловмисникам у режимі реального часу визначити, чи є підроблений користувач високого рівня важливості. Така точна ідентифікація дозволяє зловмисникам швидко отримати доступ до облікового запису, зосереджуючи свої зусилля на прибуткових цілях, ігноруючи менш цінні профілі.

Набори для фішингу, такі як EvilProxy, дозволяють малокваліфікованим кіберзлочинцям здійснювати складні атаки

Вперше EvilProxy було повідомлено дослідниками у вересні 2022 року, коли вони представили його здатність компрометувати облікові записи користувачів, пов’язані з різними відомими платформами, включаючи Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo та Yandex, серед інших. Цей набір інструментів продається як послуга передплати, доступна за базовою ставкою 400 доларів США на місяць. Однак вартість може зрости до 600 доларів США за націлювання на облікові записи Google, що відображає вищу вартість, пов’язану з цими обліковими даними.

Набори інструментів Phishing-as-a-Service (PhaaS) представляють помітну еволюцію в ландшафті кіберзлочинності, ефективно зменшуючи бар’єри входу для менш технічно підготовлених злочинців. Ця еволюція дає змогу здійснювати складні фішингові атаки у великих масштабах, зберігаючи безперебійний та економічно ефективний підхід.

Доступність загроз із такими простими та бюджетними інтерфейсами призвела до значного зростання кількості успішних фішингових дій багатофакторної автентифікації (MFA). Ця тенденція означає зміну тактики, яку використовують кіберзлочинці, що дозволяє їм ефективно використовувати вразливості систем MFA і збільшувати масштаб своїх атак.

Зловмисники EvilProxy використовують шахрайські електронні листи, щоб заманити нічого не підозрюючих жертв

Зафіксовані операції атаки починаються з розповсюдження фішингових електронних листів під виглядом надійних служб, таких як Adobe і DocuSign. Цей шахрайський підхід спрямований на спонукання одержувачів до взаємодії зі шкідливими URL-адресами, знайденими в електронних листах. Після натискання на ці URL-адреси запускається багатоетапна послідовність переспрямування. Мета полягає в тому, щоб перевести ціль на сторінку входу, схожу на Microsoft 365, вміло розроблену для імітації автентичного порталу. Підроблена сторінка входу діє як зворотний проксі-сервер, дискретно фіксуючи інформацію, подану через форму.

Примітним елементом цієї кампанії є навмисне виключення трафіку користувачів, що надходить із турецьких IP-адрес. Цей конкретний трафік перенаправляється на законні веб-сайти, натякаючи на можливість того, що організатори кампанії можуть походити з цієї країни.

Після успішного захоплення облікового запису зловмисники починають закріплюватися в хмарному середовищі організації. Це досягається шляхом запровадження власного методу багатофакторної автентифікації (MFA), наприклад програми двофакторної автентифікації. Цей стратегічний крок гарантує, що суб’єкти загрози можуть підтримувати послідовний віддалений доступ, сприяючи боковому переміщенню всередині системи та поширенню додаткового шкідливого програмного забезпечення.

Потім отриманий доступ використовується для монетизації. Зловмисники можуть брати участь у фінансовому шахрайстві, викрадати конфіденційні дані або навіть продавати скомпрометовані облікові записи іншим зловмисним організаціям. У поточному динамічному ландшафті загроз зворотні проксі-загрози, зокрема EvilProxy, є надзвичайно сильною загрозою, яка перевершує можливості менш складних наборів для фішингу, які використовувалися в минулому. Примітно, що навіть багатофакторна автентифікація (MFA) не захищена від цих передових хмарних загроз.