Cybersecurity-onderzoekers hebben zojuist nog een phishing-as-a-service ontdekt [PaaS] platform. Genaamd EvilProxy, het platform is gespecialiseerd in reverse proxy phishing-campagnes om MFA te omzeilen [multi-factor authenticatie] mechanismen.
EvilProxy: Reverse Proxy Phishing-as-a-Service-platform
In computernetwerken, reverse proxy is een server die zich voor andere webservers bevindt met als doel de clientverzoeken door te sturen naar die webservers. over phishing, het concept is hetzelfde – dreigingsactoren brengen slachtoffers naar een phishing-pagina, gebruik de omgekeerde proxy om de legitieme inhoud te verkrijgen, inclusief inlogpagina's, hun verkeer snuiven terwijl het verkeer door de proxy gaat.
Het EvilProxy phishing-as-a-service-platform, ook bekend als Moloch, werd ontdekt door cyberbeveiligingsbedrijf Resecurity. "EvilProxy-acteurs gebruiken Reverse Proxy- en Cookie-injectiemethoden om 2FA-authenticatie te omzeilen - proxy-sessie van het slachtoffer. Eerder werden dergelijke methoden gezien in gerichte campagnes van APT en cyberspionagegroepen, nu zijn deze methoden echter met succes geproduceerd in EvilProxy, wat het belang benadrukt van de groei van aanvallen op online services en MFA-autorisatiemechanismen, het rapport van het bedrijf wees erop:.
Het rapport zelf is gebaseerd op een lopend onderzoek naar aanvallen op werknemers van Fortune 500 bedrijven. Dankzij het grondige onderzoek, de onderzoekers verzamelden "substantiële kennis" over de netwerkinfrastructuur en modules van EvilProxy waardoor aanvallers hun kwaadaardige operaties uitvoeren. De eerste aanvallen in verband met het PaaS-platform waren gericht tegen Google- en MSFT-klanten met MFA ingeschakeld op hun accounts. In deze gevallen, SMS en Application Token waren de authenticatiekeuzes van de aangevallen klanten.
“De eerste vermelding van EvilProxy werd begin mei ontdekt 2022, dit is toen de acteurs die het runnen een demonstratievideo uitbrachten waarin werd beschreven hoe het kan worden gebruikt om geavanceerde phishing-links te leveren met de bedoeling om consumentenaccounts van grote merken zoals Apple te compromitteren, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Tjilpen, Yahoo, Yandex en anderen," het verslag toegevoegd. Echter, EvilProxy kan ook worden gebruikt bij phishing-aanvallen tegen Python Package Index (PyPi).
EvilProxy is nog een ander voorbeeld van een "kosteneffectieve en schaalbare oplossing" die geavanceerde phishing operaties tegen personen van populaire online services die MFA ondersteunen. De onderzoekers zijn van mening dat deze diensten ATO alleen maar verder van brandstof zullen voorzien [houdend met overname] en BEC [zakelijke e-compromis] activiteiten. Een ander voorbeeld van een PaaS-platform is het zogenaamde Robin Banks. De service richt zich op slachtoffers via sms en e-mail in een poging toegang te krijgen tot inloggegevens met betrekking tot Citibank, Google- en Microsoft-accounts.
Volgens een recent rapport van IronNet, de primaire motivatie voor oplichters is financieel. De Robin Banks-kit, echter, probeert ook inloggegevens voor Google- en Microsoft-accounts te verkrijgen, wat aangeeft dat het ook kan worden gebruikt door meer geavanceerde bedreigingsactoren die de eerste toegang tot bedrijfsnetwerken willen krijgen. Zodra dergelijke toegang is verleend, cybercriminelen kunnen ransomware-aanvallen en andere kwaadaardige activiteiten na de inbraak uitvoeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: