Търсене
Close this search box.

EvilProxy е насочена към 120 000 потребители на Microsoft 365

EvilProxy се превръща в една от най-популярните платформи за фишинг, насочена към акаунти, защитени с MFA, като изследователите са забелязали 120 000 фишинг имейла, изпратени до над сто организации с цел кражба на акаунти в Microsoft 365.

Това ново изследване идва от Proofpoint, която предупреждава за драматично нарастване на успешните инциденти с превземане на акаунти в облака през последните пет месеца, които засягат предимно високопоставени ръководители.

Компанията за киберсигурност е наблюдавала много мащабна кампания, поддържана от EvilProxy, която съчетава олицетворяване на търговска марка, избягване на откриване на ботове и отворени пренасочвания.

Атаки на EvilProxy

EvilProxy е платформа за фишинг като услуга, която използва обратни прокси сървъри, за да препраща заявки за удостоверяване и потребителски данни между потребителя (целта) и легитимния уебсайт на услугата.

Тъй като фишинг сървърът проксира легитимния формуляр за вход, той може да открадне бисквитките за удостоверяване, след като потребителят влезе в профила си.

Освен това, тъй като потребителят вече е трябвало да премине през предизвикателствата на MFA при влизане в акаунта, откраднатата бисквитка позволява на  заплахата да заобиколи многофакторното удостоверяване.

Както беше съобщено през септември 2022 г. от Resecurity, EvilProxy се продава на киберпрестъпници за 400 долара на месец, като обещава възможност за насочване към акаунти на Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy и PyPI.

Нова фишинг кампания, наблюдавана от Proofpoint от март 2023 г., използва услугата EvilProxy за изпращане на имейли, които се представят за популярни марки като Adobe, DocuSign и Concur.

Ако жертвата кликне върху вградената връзка, тя преминава през отворено пренасочване през YouTube или SlickDeals, последвано от поредица от последващи пренасочвания, които имат за цел да намалят шансовете за откриване и анализ.

В крайна сметка жертвата попада на фишинг страница EvilProxy, която реверсира страницата за вход в Microsoft 365, на която също така е изобразена темата на организацията на жертвата, за да изглежда автентична.

 

„За да скрият потребителския имейл от инструментите за автоматично сканиране, нападателите са използвали специално кодиране на потребителския имейл и са използвали легитимни уебсайтове, които са били хакнати, за да качат своя PHP код за декодиране на имейл адреса на даден потребител“, обяснява Proofpoint.

„След декодирането на имейл адреса потребителят беше препращан към крайния уебсайт – действителната фишинг страница, пригодена само за организацията на тази цел.“

 

Особености на насочването

Изследователите откриха, че последната кампания пренасочва потребителите с турски IP адрес към легитимен сайт, като по същество отменя атаката, което може да означава, че операцията е базирана в Турция.

Също така Proofpoint забеляза, че нападателите са били много избирателни по отношение на това в кои случаи ще преминат към фазата на превземане на акаунти, като са давали приоритет на „VIP“ цели и са пренебрегвали тези, които са по-ниско в йерархията.

От лицата, чиито акаунти са били нарушени, 39% са били ръководители на ниво C, 9% са били изпълнителни директори и вицепрезиденти, 17% са били финансови директори, а останалите са били служители с достъп до финансови активи или чувствителна информация.

След като акаунтът в Microsoft 365 е компрометиран, участниците в заплахата добавят свой собствен метод за многофакторно удостоверяване (чрез приложението Authenticator с известие и код), за да установят устойчивост.

Комплектите за фишинг с обратен прокси сървър, и по-специално EvilProxy, са нарастваща заплаха, способна да предоставя висококачествен фишинг в опасни мащаби, като заобикаля мерките за сигурност и защитата на акаунти.

Организациите могат да се защитят от тази заплаха само чрез по-висока осведоменост за сигурността, по-строги правила за филтриране на електронната поща и приемане на физически ключове, базирани на FIDO.

Инфографики и базова информация: Proofpoint

 

Източник: По материали от Интернет

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!