Търсене
Close this search box.

EvilProxy се превръща в една от най-популярните платформи за фишинг, насочена към акаунти, защитени с MFA, като изследователите са забелязали 120 000 фишинг имейла, изпратени до над сто организации с цел кражба на акаунти в Microsoft 365.

Това ново изследване идва от Proofpoint, която предупреждава за драматично нарастване на успешните инциденти с превземане на акаунти в облака през последните пет месеца, които засягат предимно високопоставени ръководители.

Компанията за киберсигурност е наблюдавала много мащабна кампания, поддържана от EvilProxy, която съчетава олицетворяване на търговска марка, избягване на откриване на ботове и отворени пренасочвания.

Атаки на EvilProxy

EvilProxy е платформа за фишинг като услуга, която използва обратни прокси сървъри, за да препраща заявки за удостоверяване и потребителски данни между потребителя (целта) и легитимния уебсайт на услугата.

Тъй като фишинг сървърът проксира легитимния формуляр за вход, той може да открадне бисквитките за удостоверяване, след като потребителят влезе в профила си.

Освен това, тъй като потребителят вече е трябвало да премине през предизвикателствата на MFA при влизане в акаунта, откраднатата бисквитка позволява на  заплахата да заобиколи многофакторното удостоверяване.

Както беше съобщено през септември 2022 г. от Resecurity, EvilProxy се продава на киберпрестъпници за 400 долара на месец, като обещава възможност за насочване към акаунти на Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy и PyPI.

Нова фишинг кампания, наблюдавана от Proofpoint от март 2023 г., използва услугата EvilProxy за изпращане на имейли, които се представят за популярни марки като Adobe, DocuSign и Concur.

Ако жертвата кликне върху вградената връзка, тя преминава през отворено пренасочване през YouTube или SlickDeals, последвано от поредица от последващи пренасочвания, които имат за цел да намалят шансовете за откриване и анализ.

В крайна сметка жертвата попада на фишинг страница EvilProxy, която реверсира страницата за вход в Microsoft 365, на която също така е изобразена темата на организацията на жертвата, за да изглежда автентична.

 

„За да скрият потребителския имейл от инструментите за автоматично сканиране, нападателите са използвали специално кодиране на потребителския имейл и са използвали легитимни уебсайтове, които са били хакнати, за да качат своя PHP код за декодиране на имейл адреса на даден потребител“, обяснява Proofpoint.

„След декодирането на имейл адреса потребителят беше препращан към крайния уебсайт – действителната фишинг страница, пригодена само за организацията на тази цел.“

 

Особености на насочването

Изследователите откриха, че последната кампания пренасочва потребителите с турски IP адрес към легитимен сайт, като по същество отменя атаката, което може да означава, че операцията е базирана в Турция.

Също така Proofpoint забеляза, че нападателите са били много избирателни по отношение на това в кои случаи ще преминат към фазата на превземане на акаунти, като са давали приоритет на „VIP“ цели и са пренебрегвали тези, които са по-ниско в йерархията.

От лицата, чиито акаунти са били нарушени, 39% са били ръководители на ниво C, 9% са били изпълнителни директори и вицепрезиденти, 17% са били финансови директори, а останалите са били служители с достъп до финансови активи или чувствителна информация.

След като акаунтът в Microsoft 365 е компрометиран, участниците в заплахата добавят свой собствен метод за многофакторно удостоверяване (чрез приложението Authenticator с известие и код), за да установят устойчивост.

Комплектите за фишинг с обратен прокси сървър, и по-специално EvilProxy, са нарастваща заплаха, способна да предоставя висококачествен фишинг в опасни мащаби, като заобикаля мерките за сигурност и защитата на акаунти.

Организациите могат да се защитят от тази заплаха само чрез по-висока осведоменост за сигурността, по-строги правила за филтриране на електронната поща и приемане на физически ключове, базирани на FIDO.

Инфографики и базова информация: Proofpoint

 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
29 ноември 2024

Бъдещето на безсървърната сигурност през 2025 г

Безсървърните среди, използващи услуги като AWS Lambda, предлагат н...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

Microsoft отхвърля твърдени...

Microsoft отхвърли твърденията, разпространявани онлайн, че...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!