I ricercatori della sicurezza informatica hanno appena scoperto un altro servizio di phishing [PaaS] piattaforma. Chiamato EvilProxy, la piattaforma è specializzata in campagne di phishing reverse proxy volte a eludere l'AMF [autenticazione a più fattori] Meccanismi.
EvilProxy: Piattaforma di Reverse Proxy Phishing-as-a-Service
Nelle reti informatiche, il proxy inverso è un server situato di fronte ad altri server Web con lo scopo di inoltrare le richieste del client a tali server Web. Per quanto riguarda il phishing, il concetto è lo stesso – gli attori delle minacce portano le vittime a una pagina di phishing, utilizzare il proxy inverso per ottenere il contenuto legittimo, comprese le pagine di accesso, annusando il loro traffico mentre il traffico passa attraverso il proxy.
La piattaforma di phishing come servizio di EvilProxy, noto anche come Moloch, è stato scoperto dalla società di sicurezza informatica Resecurity. "Gli attori di EvilProxy utilizzano i metodi Reverse Proxy e Cookie Injection per aggirare l'autenticazione 2FA - proxy della sessione della vittima. In precedenza tali metodi sono stati visti in campagne mirate di APT e gruppi di cyberspionaggio, tuttavia ora questi metodi sono stati prodotti con successo in EvilProxy, il che evidenzia l'importanza della crescita degli attacchi contro i servizi online e i meccanismi di autorizzazione MFA, sottolinea la relazione dell'azienda.
Il rapporto stesso si basa su un'indagine in corso dedicata agli attacchi contro i dipendenti di Fortune 500 aziende. Grazie per l'indagine approfondita, i ricercatori hanno raccolto "conoscenze sostanziali" sull'infrastruttura di rete e sui moduli di EvilProxy grazie ai quali gli aggressori conducono le loro operazioni dannose. Gli attacchi iniziali associati alla piattaforma PaaS sono stati contro i clienti di Google e MSFT con MFA abilitato sui loro account. In questi casi, SMS e Application Token erano le scelte di autenticazione dei clienti attaccati.
“La prima menzione di EvilProxy è stata rilevata all'inizio di maggio 2022, questo è quando gli attori che lo gestiscono hanno rilasciato un video dimostrativo che spiega in dettaglio come potrebbe essere utilizzato per fornire collegamenti di phishing avanzati con l'intenzione di compromettere gli account dei consumatori appartenenti a marchi importanti come Apple, Facebook, Vai papà, GitHub, Google, Dropbox, Instagram, Microsoft, Cinguettio, Yahoo, Yandex e altri," il rapporto aggiunto. Tuttavia, EvilProxy può anche essere utilizzato negli attacchi di phishing contro Python Package Index (PyPi).
EvilProxy è un altro esempio di "soluzione economica e scalabile" che consente avanzate phishing operazioni contro individui di popolari servizi online che supportano l'autenticazione a più fattori. I ricercatori ritengono che questi servizi alimenteranno ulteriormente l'ATO [conto takeover] e BEC [e-mail aziendali compromessi] attività. Un altro esempio di piattaforma PaaS è la cosiddetta Robin Banks. Il servizio si rivolge alle vittime tramite SMS ed e-mail nel tentativo di ottenere l'accesso alle credenziali relative a Citibank, Account Google e Microsoft.
Secondo un recente rapporto di IronNet, la motivazione principale per i truffatori è finanziaria. Il kit di Robin Banks, tuttavia, cerca anche di ottenere le credenziali per gli account Google e Microsoft, indicando che potrebbe essere utilizzato anche da attori di minacce più avanzati che cercano di ottenere l'accesso iniziale alle reti aziendali. Una volta concesso tale accesso, i criminali informatici possono eseguire attacchi ransomware e altre attività dannose post-intrusione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: