Cybersikkerhedsforskere har netop afsløret endnu en phishing-som-en-tjeneste [PaaS] platform. Kaldes EvilProxy, platformen er specialiseret i reverse proxy phishing-kampagner med det formål at omgå MFA [multi-faktor autentificering] mekanismer.
EvilProxy: Omvendt proxy-phishing-as-a-service platform
I computernetværk, omvendt proxy er en server placeret foran andre webservere med det formål at videresende klientanmodninger til disse webservere. Angående phishing, konceptet er det samme – trusselsaktører fører ofre til en phishing-side, bruge den omvendte proxy til at få det legitime indhold, inklusive login sider, snuser til deres trafik, når trafikken passerer gennem proxyen.
EvilProxy phishing-as-a-service platformen, også kendt som Moloch, blev opdaget af cybersikkerhedsfirmaet Resecurity. “EvilProxy-skuespillere bruger Reverse Proxy og Cookie Injection-metoder til at omgå 2FA-autentificering – proxyfyring af ofrets session. Tidligere er sådanne metoder blevet set i målrettede kampagner af APT- og cyberspionagegrupper, Men nu er disse metoder med succes blevet produceret i EvilProxy, som fremhæver betydningen af vækst i angreb mod online-tjenester og MFA-autorisationsmekanismer, firmaets rapport påpegede.
Selve rapporten er baseret på en igangværende undersøgelse dedikeret til angreb mod medarbejdere fra Fortune 500 virksomheder. Takket være den grundige undersøgelse, forskerne indsamlede "væsentlig viden" om EvilProxys netværksinfrastruktur og moduler, takket være hvilke angribere udfører deres ondsindede operationer. De første angreb forbundet med PaaS-platformen var mod Google- og MSFT-kunder med MFA aktiveret på deres konti. I disse tilfælde, SMS og Application Token var de angrebne kunders autentificeringsvalg.
"Den første omtale af EvilProxy blev opdaget i begyndelsen af maj 2022, det var, da skuespillerne, der driver det, udgav en demonstrationsvideo, der beskriver, hvordan det kunne bruges til at levere avancerede phishing-links med den hensigt at kompromittere forbrugerkonti, der tilhører store mærker som Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex og andre," rapporten tilføjet. Men, EvilProxy kan også bruges i phishing-angreb mod Python Package Index (PyPi).
EvilProxy er endnu et eksempel på en "omkostningseffektiv og skalerbar løsning", der muliggør avanceret phishing operationer mod enkeltpersoner af populære onlinetjenester, der understøtter MFA. Forskerne mener, at disse tjenester kun vil give yderligere næring til ATO [konto overtagelse] og BEC [business e-mail kompromis] aktiviteter. Et andet eksempel på en PaaS platform er den såkaldte Robin Banks. Tjenesten retter sig mod ofre via SMS og e-mail i et forsøg på at få adgang til legitimationsoplysninger vedrørende Citibank, Google- og Microsoft-konti.
Ifølge en nylig rapport fra IronNet, den primære motivation for svindlere er økonomisk. Robin Banks sættet, dog, forsøger også at få legitimationsoplysninger til Google- og Microsoft-konti, hvilket indikerer, at det også kan bruges af mere avancerede trusselsaktører, der ønsker at få indledende adgang til virksomhedens netværk. Når en sådan adgang er givet, cyberkriminelle kan udføre ransomware-angreb såvel som andre ondsindede aktiviteter efter indtrængen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: