EvilProxy се превръща в една от най-популярните платформи за фишинг, насочена към акаунти, защитени с MFA, като изследователите са забелязали 120 000 фишинг имейла, изпратени до над сто организации с цел кражба на акаунти в Microsoft 365.
Това ново изследване идва от Proofpoint, която предупреждава за драматично нарастване на успешните инциденти с превземане на акаунти в облака през последните пет месеца, които засягат предимно високопоставени ръководители.
Компанията за киберсигурност е наблюдавала много мащабна кампания, поддържана от EvilProxy, която съчетава олицетворяване на търговска марка, избягване на откриване на ботове и отворени пренасочвания.
EvilProxy е платформа за фишинг като услуга, която използва обратни прокси сървъри, за да препраща заявки за удостоверяване и потребителски данни между потребителя (целта) и легитимния уебсайт на услугата.
Тъй като фишинг сървърът проксира легитимния формуляр за вход, той може да открадне бисквитките за удостоверяване, след като потребителят влезе в профила си.
Освен това, тъй като потребителят вече е трябвало да премине през предизвикателствата на MFA при влизане в акаунта, откраднатата бисквитка позволява на заплахата да заобиколи многофакторното удостоверяване.
Както беше съобщено през септември 2022 г. от Resecurity, EvilProxy се продава на киберпрестъпници за 400 долара на месец, като обещава възможност за насочване към акаунти на Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy и PyPI.
Нова фишинг кампания, наблюдавана от Proofpoint от март 2023 г., използва услугата EvilProxy за изпращане на имейли, които се представят за популярни марки като Adobe, DocuSign и Concur.
Ако жертвата кликне върху вградената връзка, тя преминава през отворено пренасочване през YouTube или SlickDeals, последвано от поредица от последващи пренасочвания, които имат за цел да намалят шансовете за откриване и анализ.
В крайна сметка жертвата попада на фишинг страница EvilProxy, която реверсира страницата за вход в Microsoft 365, на която също така е изобразена темата на организацията на жертвата, за да изглежда автентична.
„За да скрият потребителския имейл от инструментите за автоматично сканиране, нападателите са използвали специално кодиране на потребителския имейл и са използвали легитимни уебсайтове, които са били хакнати, за да качат своя PHP код за декодиране на имейл адреса на даден потребител“, обяснява Proofpoint.
„След декодирането на имейл адреса потребителят беше препращан към крайния уебсайт – действителната фишинг страница, пригодена само за организацията на тази цел.“
Изследователите откриха, че последната кампания пренасочва потребителите с турски IP адрес към легитимен сайт, като по същество отменя атаката, което може да означава, че операцията е базирана в Турция.
Също така Proofpoint забеляза, че нападателите са били много избирателни по отношение на това в кои случаи ще преминат към фазата на превземане на акаунти, като са давали приоритет на „VIP“ цели и са пренебрегвали тези, които са по-ниско в йерархията.
От лицата, чиито акаунти са били нарушени, 39% са били ръководители на ниво C, 9% са били изпълнителни директори и вицепрезиденти, 17% са били финансови директори, а останалите са били служители с достъп до финансови активи или чувствителна информация.
След като акаунтът в Microsoft 365 е компрометиран, участниците в заплахата добавят свой собствен метод за многофакторно удостоверяване (чрез приложението Authenticator с известие и код), за да установят устойчивост.
Комплектите за фишинг с обратен прокси сървър, и по-специално EvilProxy, са нарастваща заплаха, способна да предоставя висококачествен фишинг в опасни мащаби, като заобикаля мерките за сигурност и защитата на акаунти.
Организациите могат да се защитят от тази заплаха само чрез по-висока осведоменост за сигурността, по-строги правила за филтриране на електронната поща и приемане на физически ключове, базирани на FIDO.
Инфографики и базова информация: Proofpoint
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.