Bộ lừa đảo EvilProxy

Các nhà nghiên cứu của Infosec đã nhận thấy một xu hướng đáng báo động là các tác nhân liên quan đến lừa đảo đang dần dần sử dụng bộ công cụ Phishing-as-a-Service (PhaaS) có tên là EvilProxy. Phần mềm độc hại đang được triển khai như một cách để dàn dựng các cuộc tấn công chiếm đoạt tài khoản với trọng tâm cụ thể là các giám đốc điều hành trong các tổ chức nổi tiếng.

Người ta đã quan sát thấy một chiến dịch tấn công như vậy sử dụng một chiến lược kết hợp tận dụng các chức năng của bộ công cụ EvilProxy. Mục tiêu là nhằm vào một số lượng đáng kể tài khoản người dùng Microsoft 365, đỉnh điểm là việc phân phối khoảng 120.000 email lừa đảo qua vô số tổ chức trên toàn thế giới trong khung thời gian từ tháng 3 đến tháng 6 năm 2023.

Đáng chú ý, trong số rất nhiều người dùng bị xâm nhập, gần 39% được xác định là giám đốc điều hành cấp C. Điều này bao gồm các CEO chiếm 9% và CFO chiếm 17%. Các cuộc tấn công này cũng tập trung vào nhân viên có quyền truy cập vào các nguồn tài chính nhạy cảm hoặc thông tin quan trọng. Thật ấn tượng, không ít hơn 35% trong số tất cả người dùng bị xâm nhập đã chọn các lớp bảo mật tài khoản bổ sung.

Các chuyên gia an ninh mạng chỉ ra rằng các chiến dịch được phối hợp này là phản ứng trực tiếp đối với việc tăng cường triển khai xác thực đa yếu tố (MFA) trong các doanh nghiệp. Do đó, các tác nhân đe dọa đã điều chỉnh các chiến lược của họ để vượt qua các rào cản bảo mật mới bằng cách kết hợp các bộ công cụ lừa đảo đối thủ ở giữa (AitM). Những bộ công cụ này được tạo ra để nắm bắt thông tin đăng nhập, cookie phiên và mật khẩu dùng một lần, do đó cho phép kẻ tấn công phân biệt, trong thời gian thực, liệu người dùng lừa đảo có tầm quan trọng cấp cao hay không. Việc nhận dạng chính xác này cho phép kẻ tấn công nhanh chóng có quyền truy cập vào tài khoản, tập trung nỗ lực vào các mục tiêu sinh lợi trong khi bỏ qua các hồ sơ ít giá trị hơn.

Bộ công cụ lừa đảo như EvilProxy cho phép tội phạm mạng có kỹ năng thấp hơn thực hiện các cuộc tấn công tinh vi

EvilProxy được các nhà nghiên cứu báo cáo lần đầu vào tháng 9 năm 2022 khi họ tiết lộ khả năng xâm phạm tài khoản người dùng được liên kết với nhiều nền tảng nổi bật khác nhau, bao gồm Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo và Yandex, trong số những người khác. Bộ công cụ này được bán trên thị trường dưới dạng dịch vụ đăng ký, có sẵn với mức giá cơ bản là 400 USD mỗi tháng. Tuy nhiên, chi phí có thể tăng lên 600 đô la để nhắm mục tiêu tài khoản Google, phản ánh giá trị cao hơn được liên kết với các thông tin xác thực đó.

Bộ công cụ Phishing-as-a-Service (PhaaS) đại diện cho một sự phát triển đáng chú ý trong bối cảnh tội phạm mạng, giảm thiểu hiệu quả các rào cản gia nhập đối với tội phạm có kỹ thuật kém hơn. Sự phát triển này cho phép thực hiện các cuộc tấn công lừa đảo tinh vi trên quy mô lớn, trong khi vẫn duy trì một cách tiếp cận liền mạch và tiết kiệm chi phí.

Sự sẵn có của các mối đe dọa với giao diện đơn giản và thân thiện với ngân sách như vậy đã dẫn đến sự gia tăng đáng kể trong các hoạt động lừa đảo xác thực đa yếu tố (MFA) thành công. Xu hướng này cho thấy sự thay đổi trong chiến thuật mà tội phạm mạng sử dụng, cho phép chúng khai thác hiệu quả các lỗ hổng của hệ thống MFA và khuếch đại quy mô các cuộc tấn công của chúng.

Những kẻ đe dọa EvilProxy sử dụng email lừa đảo để dụ những nạn nhân nhẹ dạ

Các hoạt động tấn công được ghi lại bắt đầu bằng việc phân phối các email lừa đảo dưới vỏ bọc của các dịch vụ đáng tin cậy như Adobe và DocuSign. Cách tiếp cận lừa đảo này nhằm mục đích dụ người nhận tương tác với các URL độc hại được tìm thấy trong email. Khi các URL này được nhấp vào, trình tự chuyển hướng nhiều giai đoạn sẽ được kích hoạt. Mục tiêu là hướng tới trang đăng nhập tương tự Microsoft 365, được thiết kế khéo léo để bắt chước cổng thông tin xác thực. Trang đăng nhập giả mạo hoạt động như một proxy ngược, thu thập thông tin được gửi qua biểu mẫu một cách riêng biệt.

Một yếu tố đáng chú ý trong chiến dịch này là việc loại trừ có chủ ý lưu lượng người dùng bắt nguồn từ các địa chỉ IP của Thổ Nhĩ Kỳ. Lưu lượng truy cập cụ thể này được chuyển hướng đến các trang web hợp pháp, gợi ý về khả năng những người điều phối chiến dịch có thể có nguồn gốc từ quốc gia đó.

Sau khi chiếm được tài khoản thành công, các tác nhân đe dọa sẽ tiến hành thiết lập chỗ đứng vững chắc trong môi trường đám mây của tổ chức. Điều này được thực hiện bằng cách giới thiệu phương pháp xác thực đa yếu tố (MFA) của riêng họ, chẳng hạn như ứng dụng xác thực hai yếu tố. Động thái chiến lược này đảm bảo rằng các tác nhân đe dọa có thể duy trì quyền truy cập từ xa nhất quán, tạo điều kiện thuận lợi cho chuyển động bên trong hệ thống và sự phổ biến của phần mềm độc hại bổ sung.

Quyền truy cập có được sau đó được tận dụng cho mục đích kiếm tiền. Các tác nhân đe dọa có thể chọn tham gia vào hành vi gian lận tài chính, đánh cắp dữ liệu bí mật hoặc thậm chí bán tài khoản người dùng bị xâm phạm cho các thực thể độc hại khác. Trong bối cảnh mối đe dọa động hiện tại, các mối đe dọa proxy ngược—được minh họa cụ thể bởi EvilProxy—là một mối đe dọa cực kỳ mạnh mẽ, vượt qua khả năng của các bộ công cụ lừa đảo kém tinh vi hơn được sử dụng trong quá khứ. Đáng chú ý, ngay cả xác thực đa yếu tố (MFA) cũng không tránh khỏi các mối đe dọa dựa trên đám mây nâng cao này.