Pesquisadores de segurança cibernética acabam de descobrir outro phishing como serviço [PaaS] plataforma. Chamado EvilProxy, a plataforma é especializada em campanhas de phishing de proxy reverso com o objetivo de burlar a MFA [autenticação multifator] mecanismos.
EvilProxy: Plataforma de phishing como serviço de proxy reverso
Em redes de computadores, proxy reverso é um servidor situado na frente de outros servidores da web com o objetivo de encaminhar as solicitações do cliente para esses servidores da web. Sobre phishing, o conceito é o mesmo – os agentes de ameaças levam as vítimas para uma página de phishing, utilizar o proxy reverso para obter o conteúdo legítimo, incluindo páginas de login, farejando seu tráfego à medida que o tráfego passa pelo proxy.
A plataforma de phishing como serviço EvilProxy, também conhecido como Moloch, foi descoberto pela empresa de segurança cibernética Resecurity. “Os atores do EvilProxy estão usando métodos de Proxy Reverso e Injeção de Cookie para ignorar a autenticação 2FA – proxy da sessão da vítima. Anteriormente, esses métodos foram vistos em campanhas direcionadas de grupos APT e ciberespionagem, no entanto, agora esses métodos foram produzidos com sucesso no EvilProxy, o que destaca a importância do crescimento dos ataques contra serviços online e mecanismos de autorização MFA, o relatório da empresa apontou.
O relatório em si é baseado em uma investigação em andamento dedicada a ataques contra funcionários da Fortune 500 empresas. Graças à investigação minuciosa, os pesquisadores coletaram “conhecimento substancial” sobre a infraestrutura e os módulos de rede do EvilProxy, graças aos quais os invasores conduzem suas operações maliciosas. Os ataques iniciais associados à plataforma PaaS foram contra clientes do Google e MSFT com MFA ativado em suas contas. Nesses casos, SMS e Application Token foram as opções de autenticação dos clientes atacados.
“A primeira menção de EvilProxy foi detectada no início de maio 2022, foi quando os atores que o executaram lançaram um vídeo de demonstração detalhando como ele poderia ser usado para fornecer links avançados de phishing com a intenção de comprometer contas de consumidores pertencentes a grandes marcas como a Apple, Facebook, Vai Papai, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex e outros,” o relatório adicionado. Contudo, EvilProxy também pode ser utilizado em ataques de phishing contra Python Package Index (PyPiGenericName).
EvilProxy é mais um exemplo de uma “solução econômica e escalável” que permite phishing operações contra indivíduos de serviços online populares que suportam MFA. Os pesquisadores acreditam que esses serviços só vão alimentar ainda mais a ATO [aquisição da conta] e BEC [compromisso e-mail comercial] actividades. Outro exemplo de plataforma PaaS é o chamado Robin Banks. O serviço tem como alvo as vítimas via SMS e e-mail na tentativa de obter acesso a credenciais pertencentes ao Citibank, Contas do Google e da Microsoft.
De acordo com um relatório recente da IronNet, a principal motivação para os golpistas é financeira. O kit Robin Banks, Contudo, também tenta obter credenciais para contas Google e Microsoft, indicando que também pode ser usado por agentes de ameaças mais avançados que desejam obter acesso inicial a redes corporativas. Uma vez concedido esse acesso, os cibercriminosos podem realizar ataques de ransomware, bem como outras atividades maliciosas pós-intrusão.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: