EvilProxy Phishing Kit

Os pesquisadores de Infosec notaram uma tendência alarmante de autores relacionados a fraudes utilizando progressivamente um kit de ferramentas de Phishing-as-a-Service (PhaaS) chamado EvilProxy. O malware está sendo implantado como uma forma de orquestrar ataques de controle de contas com foco específico em executivos de organizações proeminentes.

Tal campanha de ataque foi observada empregando uma estratégia híbrida que capitaliza as funcionalidades do kit de ferramentas EvilProxy. O objetivo é atingir um número substancial de contas de usuário do Microsoft 365, culminando na distribuição de aproximadamente 120.000 e-mails de phishing em várias organizações em todo o mundo no período de março a junho de 2023.

Significativamente, entre os numerosos usuários comprometidos, quase 39% são identificados como executivos de nível C. Isso inclui CEOs constituindo 9% e CFOs respondendo por 17%. Esses ataques também se concentram no pessoal que possui acesso a recursos financeiros confidenciais ou informações críticas. Impressionantemente, nada menos que 35% de todos os usuários comprometidos optaram por camadas suplementares de segurança de conta.

Os especialistas em segurança cibernética indicam que essas campanhas orquestradas são uma resposta direta à implementação intensificada da autenticação multifator (MFA) nas empresas. Consequentemente, os agentes de ameaças adaptaram suas estratégias para superar as novas barreiras de segurança, incorporando kits de phishing de adversário no meio (AitM). Esses kits são projetados para capturar credenciais, cookies de sessão e senhas de uso único, permitindo assim que os invasores identifiquem, em tempo real, se um usuário phishing é de alto nível. Essa identificação precisa permite que os invasores obtenham acesso rápido à conta, concentrando seus esforços em alvos lucrativos e desconsiderando perfis menos valiosos.

Kits de Phishing como o EvilProxy Permitem que Cibercriminosos Menos Qualificados Realizem Ataques Sofisticados

EvilProxy foi inicialmente relatado por pesquisadores em setembro de 2022, quando eles revelaram sua capacidade de comprometer contas de usuários associadas a várias plataformas proeminentes, incluindo Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo e Yandex, entre outros. Este kit de ferramentas é comercializado como um serviço de assinatura, disponível a uma taxa básica de US$400 por mês. No entanto, o custo pode aumentar para US$600 para segmentar contas do Google, refletindo o valor mais alto associado a essas credenciais.

Os kits de ferramentas Phishing-as-a-Service (PhaaS) representam uma evolução notável no cenário do crime cibernético, reduzindo efetivamente as barreiras de entrada para criminosos menos qualificados tecnicamente. Essa evolução permite a execução de ataques de phishing sofisticados em grande escala, mantendo uma abordagem contínua e econômica.

A disponibilidade de ameaças com interfaces simples e econômicas resultou em um aumento significativo nas atividades bem-sucedidas de phishing de autenticação multifator (MFA). Essa tendência significa uma mudança nas táticas empregadas pelos cibercriminosos, permitindo que eles explorem com eficiência as vulnerabilidades dos sistemas MFA e ampliem a escala de seus ataques.

Os Autores de Ameaças do EvilProxy Usam E-Mails Fraudulentos para Atrair Vítimas Inocentes

As operações de ataque registradas começam com a distribuição de e-mails de phishing que adotam o disfarce de serviços confiáveis como Adobe e DocuSign. Essa abordagem enganosa visa atrair os destinatários para que interajam com URLs maliciosos encontrados nos e-mails. Depois que esses URLs são clicados, uma sequência de redirecionamento em vários estágios é acionada. O objetivo é levar o alvo para uma página de login parecida com o Microsoft 365, inteligentemente projetada para imitar o portal autêntico. A página de login falsificada atua como um proxy reverso, capturando discretamente as informações enviadas por meio do formulário.

Um elemento notável nesta campanha é a exclusão deliberada do tráfego de usuários originário de endereços de IP turcos. Esse tráfego específico é redirecionado para sites legítimos, sugerindo a possibilidade de que os orquestradores da campanha possam ter suas origens naquele país.

Depois que uma aquisição de conta bem-sucedida é alcançada, os agentes da ameaça estabelecem uma posição firme no ambiente de nuvem da organização. Isso é feito introduzindo seu próprio Método de Autenticação Multifator (MFA), como um aplicativo autenticador de dois fatores. Esse movimento estratégico garante que os invasores possam manter um acesso remoto consistente, facilitando o movimento lateral dentro do sistema e a proliferação de malware adicional.

O acesso adquirido é então aproveitado para fins de monetização. Os agentes de ameaças podem optar por se envolver em fraudes financeiras, exfiltrar dados confidenciais ou até mesmo vender contas de usuários comprometidas para outras entidades maliciosas. No atual cenário de ameaças dinâmicas, as ameaças de proxy reverso — especificamente exemplificadas pelo EvilProxy — são uma ameaça extremamente potente, superando as capacidades dos kits de phishing menos sofisticados utilizados no passado. Notavelmente, mesmo a autenticação multifator (MFA) não é imune a essas ameaças avançadas baseadas em nuvem.