Badacze z Resecurity odkryli, że na darkwebowych forach pojawił się nowy zestaw narzędzi phishing-as-a-service (PhaaS) nazwany EvilProxy (lub inaczej Moloch). Platforma ta specjalizuje się w kampaniach phishingowych typu reverse proxy, których celem jest obejście mechanizmów uwierzytelniania wieloskładnikowego. Dostęp do platformy realizowany jest na zasadzie subskrypcji na usługę przez okres 10,20 lub 31 dni.
EvilProxy omija uwierzytelnianie wieloskładnikowe
EvilProxy, aby omijać elementy uwierzytelniania wieloskładnikowego, używa odwrotnego serwera proxy oraz techniki cookie injecting. W sieciach komputerowych odwrotny serwer proxy to ten, który znajduje się przed innymi serwerami sieciowymi i przesyła żądania klientów do tych serwerów internetowych. W przypadku EvilProxy koncepcja jest podobna. Platforma przenosi ofiarę na stronę phishingową, wykorzystując odwrotny serwer proxy i tym samym uzyskując legalną zawartość strony logowania. Tam natomiast zbierane są dane uwierzytelniające, podczas gdy ruch przechodzi przez serwer proxy. Działanie EvilProxy można porównać z atakami adversary-in-the-middle (AiTM).
Zagrożenia niesione przez platformy PhaaS
Badacze z Resecurity podkreślili, że w trakcie śledztwa uzyskali znaczną wiedzę na temat struktury, modułów i funkcji EvilProxy. Platforma została po raz pierwszy zauważona na początku maja 2022 r. Autorzy oprogramowania nagrali film opisujący, w jaki sposób można wykorzystać EvilProxy do dostarczania linków phishingowych. Wykorzystane do włamania się na konta m.in. iCloud, Facebook, Google, Instagram, Microsoft czy Twitter. Pierwsze ataki związane z EvilProxy były skierowane przeciwko klientom Google i Microsoft z włączoną usługą MFA na swoich kontach. Zaatakowani klienci wybierali SMS-y i tokeny aplikacji do uwierzytelniania.
Resecurity ostrzegło także, że EvilProxy obsługuje również ataki na repozytoria Python Package Index (PyPi), GitHub, NPM i RubyGems, co mogłoby stanowić zagrożenie dla łańcuchów dostaw.
Innym przykładem platformy PhaaS jest Robin Banks. Atakuje poprzez SMS-y lub e-maile celem uzyskania dostępu do danych uwierzytelniających do kont Citibank, ale także Google. Głównym celem cyberprzestępców są zatem bez wątpienia kwestie finansowe. Próby uzyskiwania danych uwierzytelniających np. do kont Google wskazywać mogą natomiast na torowanie sobie drogi dostępu do korporacyjnych sieci. Po uzyskaniu takiego dostępu oszuści mogą przeprowadzać szereg szkodliwych działań w sieci, z ransomware na czele.
Aby zapewnić odpowiednią ochronę przed tego typu zagrożeniami, eksperci sugerują korzystanie z narzędzi wykrywających złośliwe oprogramowanie za pomocą analizy behawioralnej.
Źródło: https://www.infosecurity-magazine.com/news/evilproxy-phishing-toolkit-dark-web/ https://sensorstechforum.com/evilproxy-phishing-bypasses-mfa/?fbclid=IwAR07c1poeBpb3FCOLmIngbS0TtnczRhfE2hdw_lCPmrNIimW6x3ecJwrRx8 Źródło obrazka: https://www.vecteezy.com/photo/9377380-young-businessman-scanning-fingerprints-to-perform-internal-security