サイバーセキュリティの研究者は、サービスとしての別のフィッシングを発見しました [PaaS] プラットホーム. EvilProxyと呼ばれる, このプラットフォームは、MFA を回避することを目的としたリバース プロキシ フィッシング キャンペーンに特化しています。 [多要素認証] メカニズム.
EvilProxy: サービスとしてのリバース プロキシ フィッシング プラットフォーム
コンピュータネットワークでは, リバース プロキシは、クライアント要求をそれらの Web サーバーに転送する目的で、他の Web サーバーの前に配置されるサーバーです。. フィッシングについて, コンセプトは同じ – 攻撃者が被害者をフィッシング ページに誘導する, リバース プロキシを利用して正当なコンテンツを取得する, ログインページを含む, トラフィックがプロキシを通過するときにトラフィックをスニッフィングする.
EvilProxy phishing-as-a-service プラットフォーム, モロクとも呼ばれる, サイバーセキュリティ会社Resecurityによって発見されました. 「EvilProxy アクターは、リバース プロキシと Cookie インジェクションの手法を使用して 2FA 認証をバイパスし、被害者のセッションをプロキシ化しています。. 以前は、APT やサイバースパイグループのターゲットを絞ったキャンペーンでこのような方法が見られました。, しかし現在、これらのメソッドは EvilProxy で製品化されており、オンライン サービスと MFA 承認メカニズムに対する攻撃の増加の重要性が強調されています。, 同社の報告書は指摘した.
レポート自体は、Fortune の従業員に対する攻撃に特化した進行中の調査に基づいています。 500 企業. 丁寧な調査のおかげで, 研究者は、攻撃者が悪意のある操作を実行するための EvilProxy のネットワーク インフラストラクチャとモジュールに関する「実質的な知識」を収集しました。. PaaS プラットフォームに関連する最初の攻撃は、アカウントで MFA が有効になっている Google および MSFT の顧客に対するものでした。. これらの場合, SMS とアプリケーション トークンは、攻撃された顧客の認証の選択肢でした.
「EvilProxy についての最初の言及は、5 月上旬に検出されました。 2022, これは、それを実行している攻撃者が、Apple などの主要ブランドに属する消費者アカウントを侵害することを意図して、高度なフィッシング リンクを配信するためにどのように使用できるかを詳述したデモンストレーション ビデオをリリースしたときです。, フェイスブック, GoDaddy, GitHub, グーグル, ドロップボックス, インスタグラム, マイクロソフト, ツイッター, Yahoo, ヤンデックスなど,」 レポート 追加した. でも, EvilProxy は、Python Package Index に対するフィッシング攻撃にも利用される可能性があります (PyPi).
EvilProxy は、高度な機能を可能にする「費用対効果が高くスケーラブルなソリューション」のもう 1 つの例です。 フィッシング MFA をサポートする一般的なオンライン サービスの個人に対する操作. 研究者は、これらのサービスが ATO をさらに促進するだけであると考えています。 [アカウントの乗っ取り] とBEC [ビジネス用メールの侵害] 活動. PaaS プラットフォームのもう 1 つの例は、いわゆる ロビン・バンクス. このサービスは、SMS や電子メールを介して被害者を標的にし、シティバンクに関連する資格情報にアクセスしようとします。, GoogleとMicrosoftのアカウント.
最近の IronNet のレポートによると, 詐欺師の主な動機は金銭的です. ロビンバンクスキット, でも, また、GoogleおよびMicrosoftアカウントのクレデンシャルを取得しようとします, 企業ネットワークへの最初のアクセスを取得しようとしているより高度な脅威アクターによっても使用される可能性があることを示しています. そのようなアクセスが許可されると, サイバー犯罪者は、ランサムウェア攻撃やその他の侵入後の悪意のある活動を実行する可能性があります.