Bedrohungsakteure verlassen sich auf das Phishing-Toolkit von EvilProxy, um Organisationen ins Visier zu nehmen

Kriminelle nutzen immer häufiger ein Phishing-as-a-Service (PhaaS)-Toolkit namens EvilProxy, um Angriffe zur Kontoübernahme zu orchestrieren, die sich speziell an Top-Führungskräfte namhafter Unternehmen richten.

Proofpoint berichtet von einer laufenden gemischten Kampagne, die diesen Dienst nutzte, um sich auf Tausende von Microsoft 365-Benutzerkonten zu konzentrieren und zwischen März und Juni 2023 rund 120.000 Phishing-E-Mails an zahlreiche Organisationen weltweit zu verteilen.

Ungefähr 39 % der mehreren kompromittierten Benutzer werden als Führungskräfte auf C-Ebene identifiziert, darunter CEOs (9 %) und CFOs (17 %). Bei den Angriffen wurden auch Personen identifiziert, die Zugang zu sensiblen Informationen oder finanziellen Ressourcen haben. Von allen kompromittierten Benutzern verfügten mindestens 35 % über zusätzliche Kontosicherheitsmaßnahmen.

Diese Kampagnen werden als Reaktion auf die zunehmende Implementierung der Multi-Faktor-Authentifizierung (MFA) in Unternehmen angesehen und veranlassen Bedrohungsakteure, ihre Strategien anzupassen, um neu eingeführte Sicherheitsebenen zu umgehen. Sie haben Adversary-in-the-Middle-Phishing-Kits (AitM) in ihre Taktiken integriert, um Anmeldeinformationen, Sitzungscookies und Einmalpasswörter zu extrahieren.

Das Unternehmenssicherheitsunternehmen stellte fest, dass Angreifer fortschrittliche Automatisierungstechniken einsetzen, um schnell und genau zu erkennen, ob ein Phishing-Benutzer eine hochrangige Position innehat, wodurch er sofort auf das Konto zugreifen kann. Gleichzeitig ignorieren sie weniger lukrative Phishing-Profile.

EvilProxy wurde erstmals im September 2022 von Resecurity dokumentiert und betonte seine Fähigkeit, Benutzerkonten zu kompromittieren, die mit verschiedenen Plattformen wie Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, verknüpft sind. und Yandex, unter anderem.

Dieses Toolkit ist im Abonnement erhältlich und kostet monatlich 400 US-Dollar. Für Google-Konten kann die Gebühr jedoch auf 600 US-Dollar ansteigen.

PhaaS-Toolkits bedeuten eine Weiterentwicklung in der Cyberkriminalitätslandschaft und senken die Eintrittsbarriere für Personen mit begrenzten technischen Fähigkeiten, um komplizierte Phishing-Angriffe in großem Umfang nahtlos und kostengünstig durchzuführen.

Was sind Phishing-Angriffe?

Phishing-Angriffe sind eine Art Cyberangriff, bei dem Angreifer betrügerische Taktiken anwenden, um Einzelpersonen dazu zu verleiten, vertrauliche Informationen wie Anmeldedaten, persönliche Daten oder Finanzinformationen preiszugeben. Diese Angriffe erfolgen typischerweise über E-Mails, Nachrichten oder Websites, die sich als legitime Entitäten ausgeben und so vertrauenswürdig und überzeugend erscheinen.

Zu den Hauptmerkmalen von Phishing-Angriffen gehören:

Täuschende Kommunikation: Bei Phishing-Angriffen handelt es sich häufig um E-Mails, Textnachrichten oder Social-Media-Nachrichten, die scheinbar von legitimen Quellen stammen, beispielsweise von Banken, Social-Media-Plattformen, Regierungsbehörden oder bekannten Unternehmen. Angreifer nutzen diese gefälschten Identitäten, um das Vertrauen des Empfängers zu gewinnen.

Dringlichkeit oder Angst: Phishing-Nachrichten erzeugen oft ein Gefühl der Dringlichkeit oder Angst, um die Empfänger zu verleiten, sofort Maßnahmen zu ergreifen. Zu den gängigen Taktiken gehört die Behauptung, dass ein Konto kompromittiert wurde, eine Zahlung fällig ist oder eine dringende Aktualisierung erforderlich ist.

Links und Anhänge: Phishing-Nachrichten enthalten Links zu gefälschten Websites oder bösartige Anhänge. Diese Links können Empfänger auf Websites weiterleiten, die seriösen Websites sehr ähneln, aber darauf ausgelegt sind, Informationen zu stehlen oder Malware zu verbreiten.

Gefälschte Websites: Angreifer erstellen gefälschte Websites, die das Erscheinungsbild legitimer Websites nachahmen, um Benutzer zur Eingabe ihrer Anmeldeinformationen zu verleiten. Diese Websites haben häufig ähnliche URLs oder Domainnamen mit geringfügigen Abweichungen.

Diebstahl von Zugangsdaten: Das Hauptziel der meisten Phishing-Angriffe besteht darin, Zugangsdaten, einschließlich Benutzernamen und Passwörter, zu stehlen. Angreifer nutzen diese Anmeldeinformationen dann, um sich unbefugten Zugriff auf Konten zu verschaffen.