Los investigadores de ciberseguridad acaban de descubrir otro phishing como servicio [PaaS] plataforma. Llamado EvilProxy, la plataforma está especializada en campañas de phishing de proxy inverso con el objetivo de eludir MFA [autenticación multifactor] mecanismos.
EvilProxy: Plataforma de phishing como servicio de proxy inverso
en redes de computadoras, proxy inverso es un servidor situado frente a otros servidores web con el fin de reenviar las solicitudes de los clientes a esos servidores web. En cuanto a la suplantación de identidad, El concepto es el mismo – los actores de amenazas llevan a las víctimas a una página de phishing, utilizar el proxy inverso para obtener el contenido legítimo, incluidas las páginas de inicio de sesión, olfatear su tráfico a medida que el tráfico pasa a través del proxy.
La plataforma de phishing como servicio EvilProxy, también conocido como Moloch, fue descubierto por la firma de ciberseguridad Resecurity. “Los actores de EvilProxy están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima de proxy.. Anteriormente, estos métodos se han visto en campañas dirigidas de APT y grupos de ciberespionaje., sin embargo, ahora estos métodos se han producido con éxito en EvilProxy, lo que destaca la importancia del crecimiento de los ataques contra los servicios en línea y los mecanismos de autorización de MFA., el informe de la firma señaló.
El informe en sí se basa en una investigación en curso dedicada a los ataques contra empleados de Fortune. 500 compañías. Gracias a la minuciosa investigación., los investigadores recopilaron "conocimiento sustancial" sobre la infraestructura de red y los módulos de EvilProxy gracias a los cuales los atacantes realizan sus operaciones maliciosas. Los ataques iniciales asociados con la plataforma PaaS fueron contra clientes de Google y MSFT con MFA habilitado en sus cuentas.. En estos casos, SMS y token de aplicación fueron las opciones de autenticación de los clientes atacados.
“La primera mención de EvilProxy se detectó a principios de mayo 2022, fue entonces cuando los actores que lo ejecutan lanzaron un video de demostración que detalla cómo podría usarse para entregar enlaces de phishing avanzados con la intención de comprometer las cuentas de los consumidores que pertenecen a las principales marcas como Apple., Facebook, Ve papi, GitHub, Google, Dropbox, Instagram, Microsoft, Gorjeo, Yahoo, Yandex y otros," el informe adicional. Sin embargo, EvilProxy también se puede utilizar en ataques de phishing contra Python Package Index (PyPi).
EvilProxy es otro ejemplo más de una "solución rentable y escalable" que permite phishing operaciones contra personas de servicios en línea populares que admiten MFA. Los investigadores creen que estos servicios solo impulsarán aún más la ATO [cuenta pública de adquisición] y BEC [compromiso correo electrónico de negocios] ocupaciones. Otro ejemplo de plataforma PaaS es la llamada robin bancos. El servicio se dirige a las víctimas a través de SMS y correo electrónico en un intento de obtener acceso a las credenciales pertenecientes a Citibank., Cuentas de Google y Microsoft.
Según un informe reciente de IronNet, la principal motivación de los estafadores es financiera. El conjunto de Robin Banks, sin embargo, también intenta obtener credenciales para cuentas de Google y Microsoft, lo que indica que también podría ser utilizado por actores de amenazas más avanzados que buscan obtener acceso inicial a las redes corporativas. Una vez concedido dicho acceso, los ciberdelincuentes pueden llevar a cabo ataques de ransomware, así como otras actividades maliciosas posteriores a la intrusión.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: