EvilProxy 网络钓鱼套件

信息安全研究人员注意到欺诈相关行为者逐渐利用名为 EvilProxy 的网络钓鱼即服务 (PhaaS) 工具包的惊人趋势。该恶意软件被部署为一种精心策划帐户接管攻击的方式，特别针对知名组织的高管。

据观察，此类攻击活动采用了利用 EvilProxy 工具包功能的混合策略。其目标是针对大量 Microsoft 365 用户帐户，最终在 2023 年 3 月至 6 月期间在全球多个组织中分发约 120,000 封网络钓鱼电子邮件。

值得注意的是，在众多受感染的用户中，近 39% 的人被确定为 C 级高管。其中首席执行官占 9%，首席财务官占 17%。这些攻击还集中针对有权访问敏感财务资源或关键信息的人员。令人印象深刻的是，在所有受感染的用户中，不少于 35% 选择了帐户安全的补充层。

网络安全专家表示，这些精心策划的活动是对企业内部加强实施多重身份验证 (MFA) 的直接回应。因此，威胁行为者调整了策略，通过整合中间对手 (AitM) 网络钓鱼工具包来克服新的安全障碍。这些工具包旨在捕获凭据、会话 cookie 和一次性密码，从而使攻击者能够实时辨别网络钓鱼用户是否具有高级重要性。这种精确的识别使攻击者能够迅速获得对该帐户的访问权限，将他们的精力集中在利润丰厚的目标上，而忽略价值较低的个人资料。

EvilProxy 等网络钓鱼工具包允许技能较低的网络犯罪分子实施复杂的攻击

研究人员最初于 2022 年 9 月报告了 EvilProxy，当时他们公布了它能够破坏与各种知名平台相关的用户帐户，包括 Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI、RubyGems、Twitter、雅虎、Yandex 等。该工具包以订阅服务的形式销售，基本费率为每月 400 美元。然而，针对 Google 帐户的成本可能会上升至 600 美元，这反映出与这些凭据相关的更高价值。

网络钓鱼即服务 (PhaaS) 工具包代表了网络犯罪领域的显着演变，有效降低了技术水平较低的犯罪分子的进入壁垒。这种演变使得能够大规模执行复杂的网络钓鱼攻击，同时保持无缝且经济高效的方法。

通过这种简单且经济实惠的界面来应对威胁，导致成功的多因素身份验证 (MFA) 网络钓鱼活动大幅增加。这一趋势标志着网络犯罪分子所采用策略的转变，使他们能够有效利用 MFA 系统的漏洞并扩大攻击规模。

EvilProxy 威胁参与者使用欺诈性电子邮件来引诱毫无戒心的受害者

记录的攻击操作始于分发网络钓鱼电子邮件，这些电子邮件采用 Adobe 和 DocuSign 等可信服务的幌子。这种欺骗性方法旨在引诱收件人与电子邮件中发现的恶意 URL 进行交互。单击这些 URL 后，就会触发多阶段重定向序列。目标是将目标引导至类似 Microsoft 365 的登录页面，该页面经过巧妙设计以模仿真实的门户。伪造的登录页面充当反向代理，离散地捕获通过表单提交的信息。

此活动中的一个值得注意的因素是故意排除源自土耳其 IP 地址的用户流量。这种特殊的流量被重定向到合法网站，暗示活动策划者可能来自该国家。

一旦成功实现帐户接管，威胁行为者就会继续在组织的云环境中建立牢固的立足点。这是通过引入他们自己的多重身份验证 (MFA) 方法（例如双因素身份验证器应用程序）来实现的。这一战略举措确保威胁行为者能够保持一致的远程访问，促进系统内的横向移动和其他恶意软件的扩散。

然后将获得的访问权用于货币化目的。威胁行为者可能会选择从事金融欺诈、窃取机密数据，甚至将受损的用户帐户出售给其他恶意实体。在当前的动态威胁格局中，反向代理威胁（尤其以 EvilProxy 为代表）是一种极其强大的威胁，超越了过去使用的不太复杂的网络钓鱼工具包的能力。值得注意的是，即使是多重身份验证 (MFA) 也无法免受这些基于云的高级威胁的影响。