EvilProxy 網絡釣魚套件

信息安全研究人員注意到欺詐相關行為者逐漸利用名為 EvilProxy 的網絡釣魚即服務 (PhaaS) 工具包的驚人趨勢。該惡意軟件被部署為一種精心策劃帳戶接管攻擊的方式，特別針對知名組織的高管。

據觀察，此類攻擊活動採用了利用 EvilProxy 工具包功能的混合策略。其目標是針對大量 Microsoft 365 用戶帳戶，最終在 2023 年 3 月至 6 月期間在全球多個組織中分發約 120,000 封網絡釣魚電子郵件。

值得注意的是，在眾多受感染的用戶中，近 39% 的人被確定為 C 級高管。其中首席執行官佔 9%，首席財務官佔 17%。這些攻擊還集中針對有權訪問敏感財務資源或關鍵信息的人員。令人印象深刻的是，在所有受感染的用戶中，不少於 35% 選擇了帳戶安全的補充層。

網絡安全專家表示，這些精心策劃的活動是對企業內部加強實施多重身份驗證 (MFA) 的直接回應。因此，威脅行為者調整了策略，通過整合中間對手 (AitM) 網絡釣魚工具包來克服新的安全障礙。這些工具包旨在捕獲憑據、會話 cookie 和一次性密碼，從而使攻擊者能夠實時辨別網絡釣魚用戶是否具有高級重要性。這種精確的識別使攻擊者能夠迅速獲得對該帳戶的訪問權限，將他們的精力集中在利潤豐厚的目標上，而忽略價值較低的個人資料。

EvilProxy 等網絡釣魚工具包允許技能較低的網絡犯罪分子實施複雜的攻擊

研究人員最初於2022 年9 月報告了EvilProxy，當時他們公佈了它能夠破壞與各種知名平台相關的用戶帳戶，包括Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI 、RubyGems、Twitter、雅虎、Yandex 等。該工具包以訂閱服務的形式銷售，基本費率為每月 400 美元。然而，針對 Google 帳戶的成本可能會上升至 600 美元，這反映出與這些憑據相關的更高價值。

網絡釣魚即服務 (PhaaS) 工具包代表了網絡犯罪領域的顯著演變，有效降低了技術水平較低的犯罪分子的進入壁壘。這種演變使得能夠大規模執行複雜的網絡釣魚攻擊，同時保持無縫且經濟高效的方法。

通過這種簡單且經濟實惠的界面來應對威脅，導致成功的多因素身份驗證 (MFA) 網絡釣魚活動大幅增加。這一趨勢標誌著網絡犯罪分子所採用策略的轉變，使他們能夠有效利用 MFA 系統的漏洞並擴大攻擊規模。

EvilProxy 威脅參與者使用欺詐性電子郵件來引誘毫無戒心的受害者

記錄的攻擊操作始於分發網絡釣魚電子郵件，這些電子郵件採用 Adobe 和 DocuSign 等可信服務的幌子。這種欺騙性方法旨在引誘收件人與電子郵件中發現的惡意 URL 進行交互。單擊這些 URL 後，就會觸發多階段重定向序列。目標是將目標引導至類似 Microsoft 365 的登錄頁面，該頁面經過巧妙設計以模仿真實的門戶。偽造的登錄頁面充當反向代理，離散地捕獲通過表單提交的信息。

此活動中的一個值得注意的因素是故意排除源自土耳其 IP 地址的用戶流量。這種特殊的流量被重定向到合法網站，暗示活動策劃者可能來自該國家。

一旦成功實現帳戶接管，威脅行為者就會繼續在組織的雲環境中建立牢固的立足點。這是通過引入他們自己的多重身份驗證 (MFA) 方法（例如雙因素身份驗證器應用程序）來實現的。這一戰略舉措確保威脅行為者能夠保持一致的遠程訪問，促進系統內的橫向移動和其他惡意軟件的擴散。

然後將獲得的訪問權用於貨幣化目的。威脅行為者可能會選擇從事金融欺詐、竊取機密數據，甚至將受損的用戶帳戶出售給其他惡意實體。在當前的動態威脅格局中，反向代理威脅（尤其以 EvilProxy 為代表）是一種極其強大的威脅，超越了過去使用的不太複雜的網絡釣魚工具包的能力。值得注意的是，即使是多重身份驗證 (MFA) 也無法免受這些基於雲的高級威脅的影響。