Cybersicherheitsforscher haben gerade einen weiteren Phishing-as-a-Service entdeckt [PaaS] Plattform. EvilProxy genannt, Die Plattform ist auf Reverse-Proxy-Phishing-Kampagnen spezialisiert, die darauf abzielen, MFA zu umgehen [Multi-Faktor-Authentifizierung] Mechanismen.
EvilProxy: Reverse-Proxy-Phishing-as-a-Service-Plattform
Bei Computernetzwerken, Reverse-Proxy ist ein Server, der sich vor anderen Webservern befindet, um die Client-Anfragen an diese Webserver weiterzuleiten. Apropos Phishing, das konzept ist das gleiche – Angreifer bringen Opfer auf eine Phishing-Seite, Verwenden Sie den Reverse-Proxy, um den legitimen Inhalt zu erhalten, einschließlich Anmeldeseiten, ihren Datenverkehr schnüffeln, während der Datenverkehr den Proxy passiert.
Die Phishing-as-a-Service-Plattform EvilProxy, auch Moloch genannt, wurde von der Cybersicherheitsfirma Resecurity entdeckt. „EvilProxy-Akteure verwenden Reverse-Proxy- und Cookie-Injection-Methoden, um die 2FA-Authentifizierung zu umgehen und die Sitzung des Opfers zu proxieren. Zuvor wurden solche Methoden in gezielten Kampagnen von APT und Cyberspionage-Gruppen gesehen, Jetzt wurden diese Methoden jedoch erfolgreich in EvilProxy umgesetzt, was die Bedeutung der Zunahme von Angriffen auf Online-Dienste und MFA-Autorisierungsmechanismen unterstreicht, der Firmenbericht wies darauf hin.
Der Bericht selbst basiert auf einer laufenden Untersuchung, die sich mit Angriffen auf Mitarbeiter von Fortune befasst 500 Firmen. Dank der gründlichen Untersuchung, Die Forscher sammelten „substanzielles Wissen“ über die Netzwerkinfrastruktur und die Module von EvilProxy, dank denen Angreifer ihre böswilligen Operationen durchführen. Die ersten Angriffe im Zusammenhang mit der PaaS-Plattform richteten sich gegen Google- und MSFT-Kunden, deren Konten MFA aktiviert hatten. In diesen Fällen, SMS und Application Token waren die Authentifizierungsoptionen der angegriffenen Kunden.
„Die erste Erwähnung von EvilProxy wurde Anfang Mai entdeckt 2022, Zu diesem Zeitpunkt veröffentlichten die Akteure, die es betreiben, ein Demonstrationsvideo, in dem detailliert beschrieben wird, wie es verwendet werden könnte, um erweiterte Phishing-Links bereitzustellen, mit der Absicht, Verbraucherkonten großer Marken wie Apple zu kompromittieren, Facebook, Los Papa, GitHub, Google, Dropbox, Instagram, Microsoft, Zwitschern, Yahoo, Yandex und andere," der Bericht hinzugefügt. Jedoch, EvilProxy kann auch bei Phishing-Angriffen auf den Python-Paketindex verwendet werden (PyPi).
EvilProxy ist ein weiteres Beispiel für eine „kostengünstige und skalierbare Lösung“, die fortschrittliche Lösungen ermöglicht Phishing Operationen gegen Personen beliebter Online-Dienste, die MFA unterstützen. Die Forscher glauben, dass diese Dienste ATO nur weiter vorantreiben werden [Kontoübernahme] und BEC [Business-E-Mail-Kompromiss] Aktivitäten. Ein weiteres Beispiel für eine PaaS-Plattform ist die sog Robin Banken. Der Dienst zielt per SMS und E-Mail auf Opfer ab, um Zugang zu Zugangsdaten der Citibank zu erhalten, Google- und Microsoft-Konten.
Laut einem aktuellen Bericht von IronNet, Die Hauptmotivation für Betrüger ist finanzieller Natur. Das Robin Banks-Kit, jedoch, versucht auch, Anmeldeinformationen für Google- und Microsoft-Konten abzurufen, Dies deutet darauf hin, dass es auch von fortgeschritteneren Bedrohungsakteuren verwendet werden könnte, die einen ersten Zugriff auf Unternehmensnetzwerke erhalten möchten. Sobald ein solcher Zugriff gewährt wird, Cyberkriminelle können Ransomware-Angriffe sowie andere böswillige Aktivitäten nach dem Eindringen ausführen.