Trusselskuespillere, der stoler på EvilProxy Phishing Toolkit for at målrette mod organisationer

Kriminelle aktører bruger oftere og oftere et phishing-as-a-service (PhaaS) værktøjssæt kendt som EvilProxy til at orkestrere kontoovertagelsesangreb specifikt rettet mod topledere i fremtrædende virksomheder.

Proofpoint rapporterer om en igangværende blandet kampagne, der har brugt denne service til at fokusere på tusindvis af Microsoft 365-brugerkonti, og sprede omkring 120.000 phishing-e-mails til adskillige organisationer verden over mellem perioden marts til juni i 2023.

Cirka 39 % af de adskillige kompromitterede brugere er identificeret som ledere på C-niveau, der omfatter administrerende direktører (9 %) og økonomidirektører (17 %). Angrebene har også udpeget personer, der har adgang til følsomme oplysninger eller økonomiske ressourcer. Blandt alle kompromitterede brugere havde mindst 35 % ekstra kontosikkerhedsforanstaltninger på plads.

Disse kampagner ses som en reaktion på den voksende implementering af multi-faktor autentificering (MFA) i virksomheder, hvilket får trusselsaktører til at tilpasse deres strategier for at omgå nyligt indførte sikkerhedslag. De har integreret adversary-in-the-middle (AitM) phishing-sæt i deres taktik for at udtrække legitimationsoplysninger, sessionscookies og engangsadgangskoder.

Virksomhedens sikkerhedsfirma bemærkede, at angribere anvender avancerede automatiseringsteknikker til hurtigt og præcist at identificere, om en phished-bruger har en højprofileret position, hvilket giver dem mulighed for øjeblikkeligt at få adgang til kontoen. Samtidig ser de bort fra mindre lukrative phished-profiler.

EvilProxy blev oprindeligt dokumenteret af Resecurity i september 2022, hvilket fremhævede dets evne til at kompromittere brugerkonti knyttet til forskellige platforme såsom Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, og Yandex, blandt andre.

Dette værktøjssæt er tilgængeligt via abonnement med en månedlig pris på $400. Gebyret kan dog eskalere til $600 for Google-konti.

PhaaS-værktøjssæt betegner en udvikling i cyberkriminalitetslandskabet, der sænker adgangsbarrieren for personer med begrænsede tekniske færdigheder til at udføre indviklede phishing-angreb i stor skala, problemfrit og omkostningseffektivt.

Hvad er phishing-angreb?

Phishing-angreb er en type cyberangreb, hvor angribere bruger vildledende taktikker til at narre enkeltpersoner til at afsløre følsomme oplysninger, såsom login-legitimationsoplysninger, personlige oplysninger eller økonomiske oplysninger. Disse angreb sker typisk gennem e-mails, beskeder eller websteder, der efterligner legitime enheder, hvilket får dem til at virke troværdige og overbevisende.

Nøglekarakteristika ved phishing-angreb omfatter:

Vildledende kommunikation: Phishing-angreb involverer ofte e-mails, sms-beskeder eller meddelelser på sociale medier, der ser ud til at komme fra legitime kilder, såsom banker, sociale medieplatforme, offentlige myndigheder eller velkendte virksomheder. Angribere bruger disse efterlignede identiteter for at vinde modtagerens tillid.

Uopsættelighed eller frygt: Phishing-beskeder skaber ofte en følelse af uopsættelighed eller frygt for at manipulere modtagere til at handle med det samme. Almindelige taktikker omfatter at hævde, at en konto er blevet kompromitteret, en betaling forfalder, eller en presserende opdatering er påkrævet.

Links og vedhæftede filer: Phishing-beskeder indeholder links til falske websteder eller ondsindede vedhæftede filer. Disse links kan lede modtagere til websteder, der ligner legitime websteder, men som er designet til at stjæle information eller sprede malware.

Forfalskede websteder: Angribere opretter falske websteder, der tæt efterligner udseendet af legitime websteder for at narre brugere til at indtaste deres legitimationsoplysninger. Disse websteder har ofte lignende URL'er eller domænenavne med små variationer.

Credential Theft: Det primære mål med de fleste phishing-angreb er at stjæle login-legitimationsoplysninger, herunder brugernavne og adgangskoder. Angribere bruger derefter disse legitimationsoplysninger til at få uautoriseret adgang til konti.